L’Express a laissé fuiter une base de 700 000 abonnés. Si l’entreprise a finalement reconnu et minimisé la brèche, assurant avoir éteint l’incendie, l’épisode est un joli cas pratique pour le règlement général sur la protection des données, appliqué le 25 mai prochain.
Hier, nos confrères de ZDNet ont révélé, sous la plume de Zack Whittaker et Rayna Stamboliyska, une imposante fuite de données frappant L’Express (voir notre Brief du jour).
Durant des semaines, le titre a laissé en ligne une base de données de ses lecteurs, sans l’ombre d’un mot de passe. Elle a été dénichée par un américain, un certain Dimov. Lourde de 60 Go, elle contenait les informations personnelles de près de 700 000 lecteurs (nom, prénom, mail, photo de profil, profession, etc., mais ni mot de passe ni coordonnées bancaires) et d’autres données sur le magazine.
Le fameux serveur de tests
En janvier, les signalements du découvreur de la faille sont restés lettre morte un mois durant. L’Express a finalement consenti à remercier ZDNet quand celui-ci l’a contacté, assurant, par la voix de sa rédactrice en chef, avoir été « victime d’une intrusion illégale dans l’un de ses serveurs ».
Elle a minimisé l’incident, plaidant l’inactivité d’un serveur utilisé uniquement à des fins de tests. Les données stockées concerneraient enfin des comptes créés en 2016 ou sur le site communaute.lexpress.fr.
Seul hic, si la brèche a été colmatée depuis, les enregistrements les plus récents dataient du 20 février 2018, assurent Zack Whittaker et Rayna Stamboliyska, qui ne comprennent pas pourquoi le traitement n’a pas été enterré, une fois le fameux test achevé.
Un cas pratique en avant-goût du RGPD
Sous réserve d’une enquête de la CNIL, cet incident devrait déjà susciter quelques interrogations sur le socle de la loi de 1978. Après le 25 mai 2018, le règlement général sur la protection des données contient de nombreuses dispositions destinées à traiter les problèmes de ce genre. Que se serait-il passé si les faits s'étaient déroulés après cette date ?
Rappelons la logique du RGPD : plus de déclaration ou d’autorisation préalable, mais des responsables de traitement beaucoup plus impliqués. Déjà, ceux-ci doivent, dès la conception, garantir un principe de sécurité, en optant par exemple pour la pseudonymisation et le chiffrement des données à caractère personnel. L'existence même d'une telle faille peut laisser présager que la logique de résilience n'a pas été respectée.
En cas de faille, l’article 33 les oblige en principe à notifier très rapidement l’autorité de contrôle, tout en lui fournissant une épaisse base documentaire sur la nature de la violation, le nombre de victimes, la catégorie des données concernées, etc.
Lorsque la violation « est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique », alors en principe le responsable doit d’instinct alerter les victimes en « des termes clairs et simples », soit par une information individuelle, soit à l’occasion d’une communication publique. Selon les situations, la CNIL peut même contraindre les oublieux à mener à bien cette campagne.
Action collective, amende
Du côté des victimes, l’article 80 organise une procédure de recours collectif permettant à chacun de mandater une association pour obtenir réparation du préjudice matériel ou moral.
L’autorité de contrôle dispose elle-même d’un pouvoir de sanction. L’éventail est vaste : avertissement, cessation, mesure de publicité, interdiction, mais également amende dont le montant peut grimper à 10 millions d’euros d’amende ou 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent.
Dans certains scénarios, par exemple atteinte au principe du consentement préalable, aux droits des individus ou si des données sensibles sont concernées (santé, sexe, opinion politique, etc.), ces montants sont doublés : 20 millions d’euros ou 4% du C.A. mondial, la plus haute des deux sommes l’emportant. On pourra relire à cette fin notre étude ligne par ligne du RGPD publiée la semaine dernière.
