Fuite massive de données : Facebook aurait-il dû informer ses utilisateurs ?

Le réseau social joue sur les mots — ce qui est généralement une mauvaise idée en matière de RGPD

Victime d’une fuite de données historique, Facebook a décidé de ne remplir aucune des obligations du RGPD en matière de communication, que ce soit à son régulateur européen ou aux personnes concernées. Un pari juridique très risqué.


Pourquoi est-ce important ? 🔥

  • Avec plus de 530 millions de personnes touchées, la fuite de données Facebook révélée le weekend dernier est doublement historique : par son ampleur bien sûr, mais aussi parce qu’elle frappe un des services les plus populaires de la planète.  

  • Pourtant, l’attitude adoptée par Facebook depuis une semaine, qui n’a pas informé directement ses utilisateurs de la fuite, étonne les experts.


Plus précisément, que s’est-il passé ? 👀

  • Samedi 3 avril, le site Business Insider révélait une fuite de données sans précédent chez Facebook, avec les informations de plus de 530 millions d’utilisateurs, du monde entier, disponibles dans la nature : nom, prénom, adresse mail, numéro de téléphone, données de géolocalisation…

  • Questionné sur l’origine de l’incident, Facebook a évoqué une vulnérabilité qui aurait permis, jusqu’en 2019, de “scraper” (de collecter automatiquement sur les pages) les données depuis son site. Parmi les personnes touchées, on retrouve des célébrités, des personnalités politiques, et même Mark Zuckerberg lui-même.

  • Lundi 5 avril, la Data Protection Commission (DPC), la “CNIL” irlandaise, annonçait l’ouverture d’une enquête et s’étonnait, déjà, de n’avoir reçu “aucune communication proactive” de la part de Facebook.

  • Questionné sur ce point mercredi 7 avril, Facebook argue que le caractère public des données (elles figuraient sur des profils ouverts) l’exonère de toute notification à la DPC comme aux personnes concernées.


Que dit le RGPD ? 📘

  • Le RGPD, qui s’applique à cette fuite s’agissant des utilisateurs européens, impose deux obligations en cas d’incident : une “notification” à l’autorité de contrôle (article 33), et une “communication” à la personne concernée (article 34). Dans les deux cas, le délai est de 72 heures à compter de la prise de connaissance de l’événement. Mais entre les deux obligations, les critères ne sont pas exactement les mêmes.

  • Pour la notification à l’autorité de contrôle (article 33), le critère est très large : la notification est obligatoire par défaut, “à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques”. Il ressort de la rédaction de l’article — et de la pratique — qu’il faut, pour s’exonérer de cette obligation, être en mesure de démontrer l’absence de risque.

  • L’obligation de communication aux personnes est plus circonstanciée : elle n’est obligatoire que si la violation de données est “susceptible d’engendrer un risque élevé”. La présomption fonctionne donc cette fois-ci en sens inverse : si rien n’indique l’existence d’un risque, pas besoin de communiquer. Et encore, si ce risque n’est pas “élevé”, seule la notification de l’article 33 s’impose.


Et maintenant ?

  • Avant toute chose, la première étape pour la DPC sera de déterminer avec certitude l’origine et l’ampleur de la violation de données. En particulier, la DPC cherchera à confirmer ou infirmer l’affirmation de Facebook selon laquelle les données divulguées étaient “publiques” (au sens technique comme juridique).

  • Ensuite, la DPC va probablement se poser deux questions :

    • 1. Le caractère (selon Facebook) public des données annihile-t-il de fait tout risque pour les utilisateurs en cas de divulgation massive ?

    • 2. Dans la négative, Facebook aurait-il dû s’attendre à ce que le risque encouru par les personnes soit élevé ?

  • Au-delà de la question de la notification, d’autres violations du RGPD pourraient être soulevées, notamment en matière de sécurité. Une chose est sûre : vu l’ampleur de l’incident et le nombre d’États-membres concernés, la décision de la DPC fera date. Pour mémoire, les sanctions peuvent aller jusqu’à 4% du chiffre d’affaires mondial de l’entreprise.


Pour aller plus loin… 🧐

👉 Fuite de données massive sur Facebook : 533 millions d’utilisateurs touchés !

👉 Facebook n’entend pas informer les utilisateurs concernés par la fuite des données de 533 millions de comptes

👉 Les suites de la fuite de données sur Facebook : la CNIL irlandaise passe à l’action