Revenir à la rubrique : Faits divers

Fuite de données colmatée chez l’opérateur réunionnais Zeop : poursuivi à tort, le directeur relaxé

Ecrit par Sébastien Gignoux – le mercredi 22 avril 2026 à 19H04

Alors qu’il avait lui-même signalé un incident à la CNIL en 2024, le directeur général de l’opérateur internet réunionnais Zeop s’est retrouvé poursuivi, à tort, devant le tribunal correctionnel pour un défaut de sécurisation de ses données clients.

C’est un peu l’histoire de l’arroseur arrosé version 2.0, avec un happy end cependant. Car lorsqu’il alerte la Commission nationale informatique et liberté (CNIL) en avril 2024 sur un risque de fuite de données causé par la maladresse d’un salarié, Emmanuel André, directeur général de Zeop, l’opérateur internet réunionnais, ne s’attendait sans doute pas à se retrouver à la barre d’un tribunal correctionnel.

À l’époque, l’embauche d’un nouveau responsable de la sécurité de systèmes d’information (RSSI) permet de débusquer, à l’occasion d’une analyse de vulnérabilité, un incident qui aurait pu s’avérer très préjudiciable au fournisseur d’accès internet.

Login et mot de passe aux enchères sur le dark web

En décembre 2023, alors qu’il intervenait dans un centre commercial, un vendeur de la société avait commis l’imprudence de se connecter sur un ordinateur personnel, également utilisé par son fils habitué des jeux vidéo.

C’est ainsi que son navigateur avait été piraté, un malware (logiciel malveillant) « aspirant » ses login et mot de passe professionnels permettant d’accéder à l’intégralité du fichier clients de Zeop. Un « jeton » dans le jargon, que le RSSI retrouvait mis à la vente aux enchères sur le dark web par le hacker, avec une mise à prix à 1 000 $. Par chance, la possibilité de s’introduire dans le fichier clients de Zeop n’avait visiblement pas attiré les convoitises de potentiels acheteurs, et aucune fuite de donnée n'avait été constatée.

Sécurité renforcée et citation erronée

La CNIL saisie et ses clients informés en août 2024, Zeop mettait rapidement en place une nouvelle politique de sécurité, renforçant notamment le processus d’authentification pour ses collaborateurs. « Un plan validé par la CNIL et l’Agence nationale de sécurité des systèmes d’information (ANSSI) », rappelle, serein, Emmanuel André.

Pour autant, le dossier instruit par le représentant local de l’office anti-cybercriminalité (OFACC) était transmis au parquet, qui décidait malgré tout de poursuivre la société et son représentant légal pour « traitement de données à caractère personnel sans mesure assurant la sécurité des données. » Sauf que la citation s’est avérée erronée, puisqu’adressée à titre personnel au directeur général en tant que personne physique, et non comme représentant de la personne morale.

"Les véritables fautifs sont les cyber-délinquants"

« Je ne soutiendrai donc pas l’accusation puisqu’on a cité la mauvaise personne », reconnaît à l’audience correctionnelle mardi 21 avril la procureure Ludivine Fathi. « Néanmoins, l’enquête a montré que des données étaient traitées sans protection suffisante. Mais le plus important, c'est que Zeop s’est mise en conformité », souligne le ministère public en requérant la relaxe.

En défense, Me Nicolas Sokoloff rappelle que « tout est parti de l’erreur malheureuse d’un salarié qui a enfreint une consigne de prudence. Mais il faut rappeler aussi que les véritables fautifs, ce sont ces cyber-délinquants qui viennent aspirer des données pour les monnayer. On l'a encore vu hier, même l'Agence nationale des titres sécurisés a été piratée ! »

"Absence d’infraction caractérisée"

Et de fustiger le traitement fait par le parquet de ce dossier. « C’est comme si Zeop s’était auto-dénoncée en faisant cette alerte, alors qu’elle a pris toutes les bonnes mesures dès que cette faille a été constatée. On aurait pu comprendre une amende administrative, mais pas ce renvoi en correctionnelle », regrette l’avocat.

Après un rapide délibéré, le tribunal va prononcer la relaxe du directeur général, pas seulement pour l’erreur de citation mais aussi « en l’absence d’infraction caractérisée », précise la présidente Caroline Meunier.

Pour la petite histoire, le salarié fautif et navré n’a pas non plus été sanctionné, son directeur préférant le faire témoigner à l’occasion d’un séminaire sur la cybersécurité afin de sensibiliser ses collègues sur les conséquences potentielles d’une manipulation en apparence anodine.

Lire aussi : Cyber sécurité, la DGSI alerte les entreprises de La Réunion

Dans la même rubrique

0💬
Tri :