Facebook, WhatsApp et Yahoo mis en cause par les CNIL européennes

Privacy Shield ou Shit ? 15
En bref
image dediée
Crédits : iStock/ThinkStock
Justice
Par
le vendredi 28 octobre 2016 à 11:33
Marc Rees

Facebook et WhatsApp d’une part et Yahoo de l’autre ont été épinglés par le Groupe de l’article 29, lequel réunit l’ensemble des autorités de contrôle européennes. En cause, le sort des données personnelles entre ces services en ligne, l’existence d’une faille de sécurité monstre et une collaboration trop poussée avec le renseignement américain.

La décision prise fin août par WhatsApp de partager avec Facebook plusieurs informations sensibles, dont les numéros de téléphone, avait été habillée par la sempiternelle amélioration de ces services en ligne.

Cette ouverture des vannes n’avaient cependant pas été bien accueillie par la Commission de Hambourg pour la protection des données et la liberté d’information. La CNIL allemande ordonnait même à l’éditeur de mettre fin à cette « synchronisation de masse », imposant en outre à Facebook de supprimer les données récupérées.

Une demande suivie d'une longue explication : « Facebook et WhatsApp sont deux entreprises indépendantes qui gèrent les données de leurs utilisateurs sur la base de leurs conditions et règles de vie privée. Après le rachat de WhatsApp par Facebook il y a deux ans, les deux parties avaient assuré que les données ne seraient pas partagées entre eux. Le fait que cela se produise maintenant est non seulement trompeur pour leurs utilisateurs et le public, mais constitue également une violation de la loi nationale sur la protection des données ».

WhatsApp, Facebook et le consentement de l'utilisateur

Ce dossier actuellement auscultée par la justice allemande a aussi suscité l’inquiétude du Groupe de l’article 29. Il vient d’adresser une lettre ouverte à WhatsApp concernant ces changements des conditions générales d’utilisation et sa politique de confidentialité. Sans attendre ses réponses, il exprime déjà « sa vive préoccupation à propos du partage d’information réalisé au sein de la ‘famille d’entreprises Facebook’ », se souvenant que ce pot commun n’était pas prévu « au moment où les actuels utilisateurs ont souscrit au service WhatsApp ».

Ce rapprochement va certes nourrir la soif de Facebook pour des masses de numéro de téléphone mais aux yeux du G29, elle pourrait malmener « la validité du consentement (...) , l’efficacité des mécanismes fournis aux utilisateurs pour exercer leurs droits et des droits incombant aux non-utilisateurs de WhatsApp dans le contexte d’un tel changement de politique de confidentialité ».

Le Groupe demande donc à l’éditeur de la solution de communication en ligne de lui communiquer rapidement toutes les informations jugées pertinentes, tout en lui demandent « instamment (...) d’arrêter le partage des données de ses utilisateurs jusqu’à ce que les garanties juridiques appropriées puissent être apportées ».

Yahoo également mis en cause

La gronde ne s’arrête pas au couple Facebook-WhatsApp. Une autre lettre ouverte a été publiée à l’attention cette fois de Yahoo. Dans le viseur cette fois, une faille de sécurité datant de 2014 et la collaboration étroite de ce gestionnaire de données avec les services du renseignement américain.

Pour le premier cas , les données de plusieurs centaines de millions de comptes ont été dérobées par des intrus voilà deux ans chez cette entreprise en cours de rachat par Verizon. Un vol « soutenu par un État » selon Yahoo, qui peine à corroborer ses affirmations.

Noms, adresses email, numéro de téléphone, date de naissance, empreinte (hash) de mot de passe (en majorité via bcrypt, selon la société), mais aussi des questions de sécurité et les réponses associées... voilà en tout cas l’ampleur de la fuite qui n’aurait pas concerné les mots de passe ni les données bancaires.

Le G29 sollicite de l’entreprise aujourd’hui des explications un peu plus fournies et surtout la communication de « tous les aspects de cette faille de sécurité ». Il lui suggère aussi « de notifier aux utilisateurs concernés les conséquences indésirables et de coopérer avec toute enquête ou demande à venir de la part des autorités nationales de protection des données sur le sujet ».

Yahoo est encore invité à apporter quelques solides informations sur sa collaboration étroite avec les services du renseignement américain, en particulier s’agissant du « fondement juridique de ce type d’activité et [de] sa compatibilité avec la législation européenne ». Selon Reuters, la solution en ligne aurait mis en place un logiciel spécifique ouvert aux services spécialisés pour rechercher dans des centaines de millions d’emails, des mots-clefs utiles à leur mission.

Un groupe de travail sur les actions répressives réunis en novembre

Le G29 promet d’aborder ces deux importants dossiers plus en profondeur lors de sa réunion sur les actions répressives programmée en novembre prochain. Sur ce sujet, il précise qu’« en raison d’un nombre croissant d’événement ayant des incidences transfrontalières et impactant les citoyens européens », a été créé  un groupe de travail sur les activités répressives transfrontières.

« Ce vivier d’experts nationaux facilitera le partage de point de vue entre autorités sur les stratégies et actions répressives relatives aux cas transfrontaliers. Il aidera les autorités européennes de protection des données à agir d’une manière coordonnée et efficace » affirme le groupement des gardiens des données personnelles européens.


chargement
Chargement des commentaires...