L’Express a laissé fuiter une base de 700 000 abonnés. Si l’entreprise a finalement reconnu et minimisé la brèche, assurant avoir éteint l’incendie, l’épisode est un joli cas pratique pour le règlement général sur la protection des données, appliqué le 25 mai prochain.
Hier, nos confrères de ZDNet ont révélé, sous la plume de Zack Whittaker et Rayna Stamboliyska, une imposante fuite de données frappant L’Express (voir notre Brief du jour).
Durant des semaines, le titre a laissé en ligne une base de données de ses lecteurs, sans l’ombre d’un mot de passe. Elle a été dénichée par un américain, un certain Dimov. Lourde de 60 Go, elle contenait les informations personnelles de près de 700 000 lecteurs (nom, prénom, mail, photo de profil, profession, etc., mais ni mot de passe ni coordonnées bancaires) et d’autres données sur le magazine.
Le fameux serveur de tests
En janvier, les signalements du découvreur de la faille sont restés lettre morte un mois durant. L’Express a finalement consenti à remercier ZDNet quand celui-ci l’a contacté, assurant, par la voix de sa rédactrice en chef, avoir été « victime d’une intrusion illégale dans l’un de ses serveurs ».
Elle a minimisé l’incident, plaidant l’inactivité d’un serveur utilisé uniquement à des fins de tests. Les données stockées concerneraient enfin des comptes créés en 2016 ou sur le site communaute.lexpress.fr.
Seul hic, si la brèche a été colmatée depuis, les enregistrements les plus récents dataient du 20 février 2018, assurent Zack Whittaker et Rayna Stamboliyska, qui ne comprennent pas pourquoi le traitement n’a pas été enterré, une fois le fameux test achevé.
Un cas pratique en avant-goût du RGPD
Sous réserve d’une enquête de la CNIL, cet incident devrait déjà susciter quelques interrogations sur le socle de la loi de 1978. Après le 25 mai 2018, le règlement général sur la protection des données contient de nombreuses dispositions destinées à traiter les problèmes de ce genre. Que se serait-il passé si les faits s'étaient déroulés après cette date ?
Rappelons la logique du RGPD : plus de déclaration ou d’autorisation préalable, mais des responsables de traitement beaucoup plus impliqués. Déjà, ceux-ci doivent, dès la conception, garantir un principe de sécurité, en optant par exemple pour la pseudonymisation et le chiffrement des données à caractère personnel. L'existence même d'une telle faille peut laisser présager que la logique de résilience n'a pas été respectée.
En cas de faille, l’article 33 les oblige en principe à notifier très rapidement l’autorité de contrôle, tout en lui fournissant une épaisse base documentaire sur la nature de la violation, le nombre de victimes, la catégorie des données concernées, etc.
Lorsque la violation « est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique », alors en principe le responsable doit d’instinct alerter les victimes en « des termes clairs et simples », soit par une information individuelle, soit à l’occasion d’une communication publique. Selon les situations, la CNIL peut même contraindre les oublieux à mener à bien cette campagne.
Action collective, amende
Du côté des victimes, l’article 80 organise une procédure de recours collectif permettant à chacun de mandater une association pour obtenir réparation du préjudice matériel ou moral.
L’autorité de contrôle dispose elle-même d’un pouvoir de sanction. L’éventail est vaste : avertissement, cessation, mesure de publicité, interdiction, mais également amende dont le montant peut grimper à 10 millions d’euros d’amende ou 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent.
Dans certains scénarios, par exemple atteinte au principe du consentement préalable, aux droits des individus ou si des données sensibles sont concernées (santé, sexe, opinion politique, etc.), ces montants sont doublés : 20 millions d’euros ou 4% du C.A. mondial, la plus haute des deux sommes l’emportant. On pourra relire à cette fin notre étude ligne par ligne du RGPD publiée la semaine dernière.
- Le RGPD expliqué ligne par ligne (articles 1 à 23)
- Le RGPD expliqué ligne par ligne (articles 24 à 50)
- Le RGPD expliqué ligne par ligne (articles 51 à 99)
Commentaires (20)
#1
Merci pour l’illustration !
#2
Les admins sécurité : ces assistés parasites francs-maçons gauchistes qui gangrènent la société
" />
#3
Le plus étonnant c’est que l’Express ait autant d’abonnés.
#4
#5
#6
J’avais pas vu qu’un topo sur la rgpd avait été fait. Pour le cabinet où je bosse je vais pouvoir me pencher dessus, même si je pense que pour les petites structures un dpo est pas nécessaire..
#7
ça a probablement été mentionné dans un article précédent sur le sujet mais la CNIL fournit un outil d’analyse (je l’ai pas encore testé plus de 10mn mais je relink à toute fin utile…
#8
#9
Avec l’arrivée du RGPD et le shadow IT, les RSSI ont du pain sur la planche :)
#10
L’Express, c’est le Groupe L’Express qui appartient à… SFR Presse.
Donc de quoi bien gonfler les chiffres d’abonnés
#11
Bien vu ! Je n’avais pas pensé aux opérateurs téléphoniques pour la banque de données !
#12
L’article 37 du règlement indique que les organismes chargés de traiter des données désignent “en tout état de cause” un délégué à la protection des données lorsque :
Même une TPE répondant à l’un ce des critères devra nommer un DPO. Notons que la notion de “grande échelle” n’est pas précisée.
#13
#14
#15
Idem pour l’auto abonnement depuis deux semaines pour ma part.
Je me demande comment ils ont eu mes coordonnées. (achat de fichiers clients ou autre)
#16
#17
Outre des indications concernant les définitions au sens de l’article 37 du RGPD ( qu’est ce que «activité de base» du responsable ? Quid de la notion de grande échelle? ou encore la notion de «suivi régulier et systématique» ? ), ces guidelines donnent des exemples concrets dans lesquels il est necessaire de procéder à la designation d’un DPO.
Extraits de la page 35 des guidelines relatives aux DPO :
“Exemples de traitement à grande échelle:
-traitement des données de patients par un hôpital dans le cadre du déroulement normal de ses activités; -traitement des données de voyage des passagers utilisant un moyen de transport public urbain (par exemple, suivi par les titres de transport);
-traitement des données de géolocalisation en temps réel des clients d’une chaîne internationale de restauration rapide à des fins statistiques par un sous-traitant spécialisé dans ces activités;
-traitement des données à caractère personnel par un moteur de recherche à des fins de publicité comportementale; - traitement des données (contenu, trafic, localisation) par des fournisseurs de services de téléphonie ou internet.
Exemples ne constituant pas un traitement à grande échelle:
-traitement, par un médecin exerçant à titre individuel, des données de ses patients;
-traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions par un avocat exerçant à titre individuel”.
#18
Je vous remercie pour vos retours !
Pour l’outil d’analyse du coup faudrait sûrement que je me tourne vers notre prestataire informatique je pense, où le fournisseur du progiciel où se situe toutes les infos persos des client, je sais pas trop.
Perso je pense que le cabinet où je bosse entre dans le troisième cas, mais comme tu dis “grande échelle” est pas définie et la formulation appelle tous les chiffrages…
#19
Ah bah ça répond à ma question ci-dessus ! Du coup pas besoin de DPO pour moi !
Mais bon, faut quand même cartographier, tout ça …
#20
Effectivement, realiser une cartographie des données recueillies à l’occasion de vos activités est une bonne pratique. En effet, en fonction des particularités de vos activités, certaines obligations du RGPD peuvent ou non s’appliquer.
De plus, si vous recourez à des sous-traitants pour traiter et stocker des données à caractère personnel appartenant à des tiers (clients, prospects, employés, fournisseurs), c’est éventuellement votre sous-traitant qui devra désigner obligatoirement un Délégué à la Protection des Données (DPD) . Toutefois, de façon volontaire, vous pouvez également en designer un. Il s’agit d’une bonne pratique recommandée par la CNIL.
L’exemple pour une PME (=inférieure à 250 employés) donné par les Guidelines DPO/DPD (cf. P.24) est le suivant :
“Une entreprise de taille moyenne spécialisée dans la fabrication de carrelage sous-traite ses services de médecine du travail à un sous-traitant externe, qui dispose d’un grand nombre de clients similaires. Le sous-traitant doit désigner un DPD en vertu de l’article 37, paragraphe 1, point c), dans la mesure où le traitement s’effectue à grande échelle. En revanche, le fabricant n’est pas nécessairement tenu de désigner un DPD”.
De surcroît, le considérant 91 du RGPD définit les traitement à grande echelle comme suit : “opérations de traitement à grande échelle qui visent à traiter un volume considérable de données à caractère personnel au niveau régional, national ou supranational, qui peuvent affecter un nombre important de personnes concernées et qui sont susceptibles d’engendrer un risque élevé”.
Pour revenir à l’actu sur les brèches de sécurité, le G29 vient d’en adopter les lignes directrices règlementaires (en anglais pour le moment)