Chers abonnés,

Rubin Sfadj, associé-gérant de Proposition 47, a publié ce lundi dans la revue Telos un article à propos de la future “carte d’identité numérique” et d’une certaine passion française pour les “mégafichiers”.

La mauvaise habitude de recourir à des bases de données centralisées (loi renseignement, assurance maladie, StopCovid, fichier TES…) pose de réelles questions de société autour du fichage et de l’exploitation de ces fichiers pour des finalités non prévues au départ.

C’est aussi, au plan de la sécurité, une véritable bombe à retardement.

Un extrait :

[L]e lancement de la CNIe est l’ultime étape de la constitution du fichier TES, et il est toujours aussi difficile de comprendre le recours à un dispositif centralisé (et donc porteur de risques de cybersécurité) pour une finalité si basique : authentifier numériquement la carte d’identité. (…)

De même, la possibilité de s’opposer à la conservation des empreintes digitales, prévue par le fichier TES comme une concession au RGPD, très strict sur les données biométriques, est réduite : en cas d’opposition, après quatre-vingt-dix jours, une copie papier en sera néanmoins stockée — dont on a du mal à croire, au XXIème siècle, qu’elle ne finira pas par être scannée.

Aujourd’hui comme hier, ce n’est donc pas le principe même d’une carte d’identité numérique qui pose problème, mais le choix de la centralisation des informations, l’opacité des mesures de protection et la politique de l’autruche quant aux risques associés.

Pour lire l’article en entier, rendez-vous sur Telos.

Bonne lecture,
L’équipe de Newsroom

Victime d’une fuite de données historique, Facebook a décidé de ne remplir aucune des obligations du RGPD en matière de communication, que ce soit à son régulateur européen ou aux personnes concernées. Un pari juridique très risqué.

Pourquoi est-ce important ? 🔥

• Avec plus de 530 millions de personnes touchées, la fuite de données Facebook révélée le weekend dernier est doublement historique : par son ampleur bien sûr, mais aussi parce qu’elle frappe un des services les plus populaires de la planète.  

• Pourtant, l’attitude adoptée par Facebook depuis une semaine, qui n’a pas informé directement ses utilisateurs de la fuite, étonne les experts.

Plus précisément, que s’est-il passé ? 👀

• Samedi 3 avril, le site Business Insider révélait une fuite de données sans précédent chez Facebook, avec les informations de plus de 530 millions d’utilisateurs, du monde entier, disponibles dans la nature : nom, prénom, adresse mail, numéro de téléphone, données de géolocalisation…

• Questionné sur l’origine de l’incident, Facebook a évoqué une vulnérabilité qui aurait permis, jusqu’en 2019, de “scraper” (de collecter automatiquement sur les pages) les données depuis son site. Parmi les personnes touchées, on retrouve des célébrités, des personnalités politiques, et même Mark Zuckerberg lui-même.

• Lundi 5 avril, la Data Protection Commission (DPC), la “CNIL” irlandaise, annonçait l’ouverture d’une enquête et s’étonnait, déjà, de n’avoir reçu “aucune communication proactive” de la part de Facebook.

• Questionné sur ce point mercredi 7 avril, Facebook argue que le caractère public des données (elles figuraient sur des profils ouverts) l’exonère de toute notification à la DPC comme aux personnes concernées.

Que dit le RGPD ? 📘

• Le RGPD, qui s’applique à cette fuite s’agissant des utilisateurs européens, impose deux obligations en cas d’incident : une “notification” à l’autorité de contrôle (article 33), et une “communication” à la personne concernée (article 34). Dans les deux cas, le délai est de 72 heures à compter de la prise de connaissance de l’événement. Mais entre les deux obligations, les critères ne sont pas exactement les mêmes.

• Pour la notification à l’autorité de contrôle (article 33), le critère est très large : la notification est obligatoire par défaut, “à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques”. Il ressort de la rédaction de l’article — et de la pratique — qu’il faut, pour s’exonérer de cette obligation, être en mesure de démontrer l’absence de risque.

• L’obligation de communication aux personnes est plus circonstanciée : elle n’est obligatoire que si la violation de données est “susceptible d’engendrer un risque élevé”. La présomption fonctionne donc cette fois-ci en sens inverse : si rien n’indique l’existence d’un risque, pas besoin de communiquer. Et encore, si ce risque n’est pas “élevé”, seule la notification de l’article 33 s’impose.

Et maintenant ? ⏭

• Avant toute chose, la première étape pour la DPC sera de déterminer avec certitude l’origine et l’ampleur de la violation de données. En particulier, la DPC cherchera à confirmer ou infirmer l’affirmation de Facebook selon laquelle les données divulguées étaient “publiques” (au sens technique comme juridique).

• Ensuite, la DPC va probablement se poser deux questions :

  • 1. Le caractère (selon Facebook) public des données annihile-t-il de fait tout risque pour les utilisateurs en cas de divulgation massive ?

  • 2. Dans la négative, Facebook aurait-il dû s’attendre à ce que le risque encouru par les personnes soit élevé ?

• Au-delà de la question de la notification, d’autres violations du RGPD pourraient être soulevées, notamment en matière de sécurité. Une chose est sûre : vu l’ampleur de l’incident et le nombre d’États-membres concernés, la décision de la DPC fera date. Pour mémoire, les sanctions peuvent aller jusqu’à 4% du chiffre d’affaires mondial de l’entreprise.

Pour aller plus loin… 🧐

👉 Fuite de données massive sur Facebook : 533 millions d’utilisateurs touchés !

👉 Facebook n’entend pas informer les utilisateurs concernés par la fuite des données de 533 millions de comptes

👉 Les suites de la fuite de données sur Facebook : la CNIL irlandaise passe à l’action