contact@tlmr-avocats.com

Analyse juridique du piratage massif des comptes Facebook à l’aune du RGPD

Par Henri de la Motte Rouge
02 Oct 2018

Analyse juridique du piratage massif des comptes Facebook à l’aune du RGPD

Il y a une semaine, le mardi 25 septembre 2018, une faille de sécurité informatique a été découverte par Facebook. Elle aurait touché environ 50 millions de compte dans le monde entier et plus précisément la fonctionnalité “Aperçu du profil ” qui permet de voir à quoi ressemble son compte lorsque d’autres personnes le consultent. Le cabinet livre son analyse juridique à l’aune du RGPD. 

Mark Zuckerberg a dévoilé l’existence de cette faille dans les médias assez rapidement et annoncé que la faille avait été « colmatée » dans les 48 heures. Plus qu’une question de transparence et d’éthique de la multinationale vis-à-vis des utilisateurs de la plateforme, informer les personnes de l’atteinte à la confidentialité de leurs données personnelle est aujourd’hui une véritable exigence légale dont le non-respect peut entrainer des sanctions très importantes.

C’est l’occasion de faire un point sur les obligations et risques encourus en cas de faille de sécurité qui peut concerner n’importe quelle entreprise bien qu’en l’espèce, il s’agisse de l’une des plus voraces de données personnelles.

Pour rappel, le règlement européen sur la protection des données personnelle (RGPD) applicable depuis le 25 mai 2018 prévoit en ses articles 33 et 34 une procédure à suivre en cas de violation de données à caractère personnel. Or, les comptes des ressortissants de l’Union européenne ont été touchés, entraînant de facto l’applicabilité du RGPD à la faille.

Il existe trois grandes catégories d’atteinte aux données personnelles, qui peuvent résulter d’un accident ou d’actes malveillants :

  • La violation de la confidentialité, en cas de divulgation ou d’accès non autorisé aux données ;
  • La violation de la disponibilité, ce qui correspond à la perte ou à la destruction des données ;
  • La violation de l’intégrité, lorsque les données sont altérées ou modifiées.

D’après les informations communiquées, il s’agirait d’un cas typique de violation de la confidentialité, puisque les pirates informatiques n’ont pas supprimé ou modifié les données des comptes. Les risques d’atteinte à la vie privée et le nombre important de comptes affectés supposent un risque évident pour les droits fondamentaux des personnes concernées.

Par conséquent, en vertu de l’article 32 du RGPD, Facebook était tenu de procéder à une notification auprès de l’autorité de protection des données européenne compétente (l’autorité dite « chef de file » désignée dans l’Union Européenne) dans les 72 heures de la découverte de la faille, en l’espèce, l’autorité de protection irlandaise.

Mais, surtout, Facebook était également tenu de communiquer toutes les informations utiles sur cette attaque auprès de l’ensemble des victimes du piratage en vertu de l’article 34 du RGPD, puisque le risque d’atteinte à leurs droits est « élevé », d’autant que la faille est d’origine malveillante. En effet, les informations rattachées à un compte sont éminemment sensibles puisqu’elles concernent la vie privée des personnes, leur image, leurs correspondances, leurs goûts, etc.

L’opération de communication entreprise dans des délais records correspond donc purement et simplement au respect des obligations de Facebook en matière de sécurité des données personnelles. Cette « compliance » à la procédure de violation des données instituée par le RGPD ne permettra toutefois pas à Facebook de s’exonérer totalement de sa responsabilité vis-à-vis des autorités compétentes et de ses utilisateurs.

Notamment, il conviendrait de vérifier si les ingénieurs de Facebook ont observé les principes de protection des données dès la conception et par défaut (« by design and by défault ») prévu par l’article 25 du RGPD ainsi que les principes de collecte licite loyale et limitée au regard des finalités (minimisation) prévues par l’article 5.

La sanction administrative qui pourrait être prononcée (pouvant aller jusqu’à 4% du chiffre d’affaires de la multinationale) n’est pas par ailleurs pas exclusive des dommages et intérêts que les personnes concernées sont en droit de demander.

En France, les voies de recours pour obtenir réparation des dommages sont désormais multiples, puisque les titulaires de comptes piratés pourront tenter d’obtenir réparation en (i) portant plainte auprès de la CNIL, (ii) en se regroupant pour former une action de groupe aux fins d’obtenir le versement de dommages et intérêts (nouvelle voie de recours prévue par les articles 80 et 82 du RGPD) ou (iii) en assignant individuellement Facebook.

Enfin, il semblerait que la faille de sécurité puisse également concerner les services tiers via la fonctionnalité « Facebook Connect » (applications auxquelles les utilisateurs se connectent avec les identifiants Facebook). Dès lors, si la faille a contaminé d’autres services et permis des accès frauduleux, les sites concernés pourraient se retourner contre Facebook en cas de violation prouvée du RGPD ayant entraîné un dommage.

Ce piratage massif des comptes Facebook est un cas d’école de la responsabilisation et de transparence accrue des acteurs du numérique prévues par le RGPD, mais également des risques importants qu’ils encourent désormais en cas d’atteinte aux données personnelles qu’ils traitent en tant que responsables de traitement ou sous-traitants.

Henri de la Motte Rouge et Elea Bataille
Avocats au barreau de Paris
lamotterouge@tlmr-avocats.com
tlmr-avocats.com

Autres actualités

EXPERTISE & SERVICES

On parle de nous

Sur Twitter
Témoignages
Tim Talent / Andjaro  :  "Le cabinet est notre DPO externalisé. Il nous accompagne avec efficacité dans la conformité RGPD de notre activité et intervient pour notre société sur les aspects IP/IT et coporate." Benoît Ozan Co-fondateur et Directeur Opérations-Finances 
Zabriskie Prod : "Le cabinet est intervenu pour notre société dans la rédaction et négociation de contrats informatiques et nous assiste au quotidien sur nos questions de propriété intellectuelle. A l'écoute, il A l'écoute, il propose des solutions intelligentes et toujours appropriées à nos besoins." Philippe Lemarchand CEO
LearnyBox : “Jean Philippe Touati et Henri de la Motte Rouge nous accompagnent depuis le début de notre Aventure. Ils ont une excellente expertise, anticipent nos problématiques et sont en plus éminemment sympathiques”.  Lorenzo Pancino CEO
Maïka Assistance : "Henri est un excellent avocat, qui est capable de comprendre parfaitement les problématiques des entrepreneurs, en particulier dans le domaine IT et internet. Son approche pragmatique, orientée résultat et économique, m'a permis de sécuriser mon business dans les meilleures conditions". François Solignac CEO
Officentrale.fr : Groupement de développeurs "Le cabinet nous a accompagné dans un contentieux informatique et une négociation délicate. Il dispose d’une forte expertise juridique et technique couplée à un sens de l’humain et du relationnel très appréciable" Jean Marie Henry CEO
Mon code juridique : "Henri est intervenu pour notre société dans la rédaction et négociation de contrats informatiques et nous assiste au quotidien sur nos questions de propriété intellectuelle" Baptiste Lefevre CEO
Fosburit : "Le cabinet a accompagné notre plateforme de financement participatif de projets sportif lors de notre création. Sa maîtrise des enjeux juridiques et techniques des plateformes web d'intermédiation couplé a un sens opérationnel fort nous a permis de lancer sereinement notre activité. Je recommande son expertise". Charles Mahé CEO  
>
<