Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Fuite de données personnelles à L’Express, un beau cas pratique pour le RGPD

De la fuite dans les idées
Logiciel 3 min
Fuite de données personnelles à L’Express, un beau cas pratique pour le RGPD
Crédits : Firmafotografen/iStock

L’Express a laissé fuiter une base de 700 000 abonnés. Si l’entreprise a finalement reconnu et minimisé la brèche, assurant avoir éteint l’incendie, l’épisode est un joli cas pratique pour le règlement général sur la protection des données, appliqué le 25 mai prochain.

Hier, nos confrères de ZDNet ont révélé, sous la plume de Zack Whittaker et Rayna Stamboliyska, une imposante fuite de données frappant L’Express (voir notre Brief du jour).

Durant des semaines, le titre a laissé en ligne une base de données de ses lecteurs, sans l’ombre d’un mot de passe. Elle a été dénichée par un américain, un certain Dimov. Lourde de 60 Go, elle contenait les informations personnelles de près de 700 000 lecteurs (nom, prénom, mail, photo de profil, profession, etc., mais ni mot de passe ni coordonnées bancaires) et d’autres données sur le magazine.

Le fameux serveur de tests

 

 

En janvier, les signalements du découvreur de la faille sont restés lettre morte un mois durant. L’Express a finalement consenti à remercier ZDNet quand celui-ci l’a contacté, assurant, par la voix de sa rédactrice en chef, avoir été « victime d’une intrusion illégale dans l’un de ses serveurs ».

Elle a minimisé l’incident, plaidant l’inactivité d’un serveur utilisé uniquement à des fins de tests. Les données stockées concerneraient enfin des comptes créés en 2016 ou sur le site communaute.lexpress.fr.

Seul hic, si la brèche a été colmatée depuis, les enregistrements les plus récents dataient du 20 février 2018, assurent Zack Whittaker et Rayna Stamboliyska, qui ne comprennent pas pourquoi le traitement n’a pas été enterré, une fois le fameux test achevé.

Un cas pratique en avant-goût du RGPD

Sous réserve d’une enquête de la CNIL, cet incident devrait déjà susciter quelques interrogations sur le socle de la loi de 1978. Après le 25 mai 2018, le règlement général sur la protection des données contient de nombreuses dispositions destinées à traiter les problèmes de ce genre. Que se serait-il passé si les faits s'étaient déroulés après cette date ? 

Rappelons la logique du RGPD : plus de déclaration ou d’autorisation préalable, mais des responsables de traitement beaucoup plus impliqués.  Déjà, ceux-ci doivent, dès la conception, garantir un principe de sécurité, en optant par exemple pour la pseudonymisation et le chiffrement des données à caractère personnel. L'existence même d'une telle faille peut laisser présager que la logique de résilience n'a pas été respectée. 

En cas de faille, l’article 33 les oblige en principe à notifier très rapidement l’autorité de contrôle, tout en lui fournissant une épaisse base documentaire sur la nature de la violation, le nombre de victimes, la catégorie des données concernées, etc.

Lorsque la violation « est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique », alors en principe le responsable doit d’instinct alerter les victimes en « des termes clairs et simples », soit par une information individuelle, soit à l’occasion d’une communication publique. Selon les situations, la CNIL peut même contraindre les oublieux à mener à bien cette campagne.

Action collective, amende

Du côté des victimes, l’article 80 organise une procédure de recours collectif permettant à chacun de mandater une association pour obtenir réparation du préjudice matériel ou moral.

L’autorité de contrôle dispose elle-même d’un pouvoir de sanction. L’éventail est vaste : avertissement, cessation, mesure de publicité, interdiction, mais également amende dont le montant peut grimper à 10 millions d’euros d’amende ou 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent.

Dans certains scénarios, par exemple atteinte au principe du consentement préalable, aux droits des individus ou si des données sensibles sont concernées (santé, sexe, opinion politique, etc.),  ces montants sont doublés : 20 millions d’euros ou 4% du C.A. mondial, la plus haute des deux sommes l’emportant. On pourra relire à cette fin notre étude ligne par ligne du RGPD publiée la semaine dernière.

20 commentaires
Avatar de Oliewan Abonné
Avatar de OliewanOliewan- 02/03/18 à 09:42:05

Merci pour l'illustration !

Avatar de Jarodd INpactien
Avatar de JaroddJarodd- 02/03/18 à 09:51:03

Les admins sécurité : ces assistés parasites francs-maçons gauchistes qui gangrènent la société :ouioui:

Avatar de laurentplop Abonné
Avatar de laurentploplaurentplop- 02/03/18 à 10:16:53

Le plus étonnant c'est que l'Express ait autant d'abonnés.

Avatar de jeryagor Abonné
Avatar de jeryagorjeryagor- 02/03/18 à 10:41:44

:bravo:

Avatar de darkbeast Abonné
Avatar de darkbeastdarkbeast- 02/03/18 à 11:46:41

Jarodd a écrit :

Les admins sécurité : ces assistés parasites francs-maçons gauchistes qui gangrènent la société :ouioui:

c'est clair quelle bande de bon a rien surpayés

Avatar de aldebourg Abonné
Avatar de aldebourgaldebourg- 02/03/18 à 12:40:05

J'avais pas vu qu'un topo sur la rgpd avait été fait. Pour le cabinet où je bosse je vais pouvoir me pencher dessus, même si je pense que pour les petites structures un dpo est pas nécessaire..

Avatar de WereWindle INpactien
Avatar de WereWindleWereWindle- 02/03/18 à 12:47:25

ça a probablement été mentionné dans un article précédent sur le sujet mais la CNIL fournit un outil d'analyse (je l'ai pas encore testé plus de 10mn mais je relink à toute fin utile...

Avatar de bigJM Abonné
Avatar de bigJMbigJM- 02/03/18 à 13:03:30

laurentplop a écrit :

Le plus étonnant c'est que l'Express ait autant d'abonnés.

Personnellement j'ai été auto-abonné jusqu'à la semaine dernière à l'Express via une offre"Découverte" non sollicitée. J'imagine qu'ils ont dû récupérer mon nom & adresse via une base de mailing obtenue par ailleurs (Fnac et consorts,centres commerciaux ...). Cela doit probablement leur permettre de gonflerartificiellement leur nombre d'abonnés...
J'ai lu le premier numéro par curiosité. Je l'ai fini en 1 minute puis l'ai misdans poubelle de recyclage.Les numéros suivant n'ont pas eu cette chance et ont fini directement dans laboîte à spam (= la poubelle à côté des boîtes aux lettres de l'immeuble).

(edit: purée de cop colle Word )

Édité par bigJM le 02/03/2018 à 13:04
Avatar de Krystanos Abonné
Avatar de KrystanosKrystanos- 02/03/18 à 13:17:55

Avec l'arrivée du RGPD et le shadow IT, les RSSI ont du pain sur la planche :)

Avatar de John Shaft Abonné
Avatar de John ShaftJohn Shaft- 02/03/18 à 13:24:08

L'Express, c'est le Groupe L'Express qui appartient à... SFR Presse.

Donc de quoi bien gonfler les chiffres d'abonnés

Il n'est plus possible de commenter cette actualité.
Page 1 / 2