Des noms, des identifiants, des adresses e-mail, le sexe, le pays et des numéros de téléphone. Ces données pourraient être utilisées pour du démarchage ciblé ou des escroqueries. Pour vérifier si un numéro de téléphone ou une adresse e-mail était inclus dans ces fichiers, il est possible de faire une recherche sécurisée sur Have I Been Pwned.
Cette énorme base de données mise en ligne début avril par un internaute (qui a mis à disposition des échantillons de 2 millions d’utilisateurs afin de prouver qu’il ne s’agit pas d’une arnaque) est un record pour ce réseau social. En 2019, environ 400 millions de comptes avaient fuité.
Repérée par CyberNews (un forum côtoyé par des hackers), cette base de 533 millions de comptes Facebook était découpée en 106 fichiers, chacun réunissant les données d’un seul pays. Concernant les internautes français, un article d’Arrêt sur images indique que les numéros de téléphone de plusieurs ministres (dont la ministre de la Mer Annick Girardin et le ministre des PME Alain Griset) y figurent.
Pas un piratage selon Facebook
Facebook ayant son siège européen en Irlande, c’est la Data Protection Commission (DPC), l’équivalent de la CNIL en Irlande, qui est chargée de cette enquête. Objectif : s’assurer que Facebook Ireland « a respecté ses obligations en tant que responsable du traitement de données » à l’égard du RGPD.
La défense du réseau social repose sur des arguments subtils : Facebook explique que ces données ne sont pas issues d’un piratage de son réseau, mais ont été récupérées via une technique dite de « scraping » qui repose sur des outils de récupération automatisée de données accessibles librement sur le web.
Pour le réseau social, ces données se trouvant sur des pages publiques des comptes utilisateurs, il n’est pas tenu de les protéger. Facebook a aussi précisé que cette faille a été corrigée en 2019. Par ailleurs, le site indique que ce piratage aurait eu lieu « entre juin 2017 et avril 2018 ». Or, le RGPD est exécutoire depuis mai 2019…
« L’intérêt de Facebook est que les internautes partagent un maximum d’information, donc par défaut les comptes sont publics, précise maître Julien Le Clainche, avocat à la Cour, spécialisé dans la protection des données personnelles. C’est aux membres de rendre privés certains éléments d’informations. Donc, le réseau ne peut pas vraiment dire que les utilisateurs ont été négligents. Cet argument n’est pas vraiment convaincant, car le RGPD consacre la protection de la vie privée par défaut (principe du “privacy by design”, Art. 25) et on privilégie systématiquement la protection des données personnelles. Dans le cas de Facebook, cela implique que tous les profils sont privés par défaut. Par ailleurs, si un internaute met des données personnelles en accès libre sur ce réseau afin que ses amis le retrouvent, ce n’est pas pour que des pirates exploitent une fonctionnalité mal conçue de ce système ».
Des risques sous-estimés par Facebook ?
Reste à déterminer sur quel fondement va se positionner la CNIL irlandaise. « La question fondamentale est de savoir s’il s’agit d’une violation de données au sens du RGPD, explique maître Julien Le Clainche. Son article 4.12 précise que c’est le cas lorsqu’il y a une divulgation ou un accès non autorisé à des données. Si l’on se réfère aux articles 24 et 32 du RGPD, un responsable du traitement met en œuvre un traitement ; il prend en compte l’état des connaissances (en l’occurrence sa fonctionnalité mal développée et qui était connue des pirates), le coût des mesures de sécurité (Facebook ayant corrigé cette faille, le coût n’était pas prohibitif) , la nature, la portée et la finalité du traitement (quand on manipule autant de données, on a une obligation de sécurité renforcée) ».
Facebook aurait donc mal interprété la probabilité que ce risque de fuite intervienne.
Quelles actions peuvent entamer les Français ? Ils peuvent porter plainte au pénal, saisir la CNIL ou agir au civil pour obtenir des dommages-intérêts. « Cette fuite est massive, mais au niveau individuel, les préjudices que les plaignants pourraient démontrer sont assez faibles », indique Julien Le Clainche. Des actions en groupe pourraient être lancées par des associations comme UFC Que Choisir, à condition que les dommages aient été subis après le 24 mai 2018, date de validation du RGPD. Or, c’est le cas dans cette affaire.
Au regard du RGPD, le réseau social s’expose à des sanctions financières allant jusqu’à 20 millions d’euros, ou 4 % du chiffre d’affaires de l’entreprise l’année précédant l’amende, soit près de 2,9 milliards d’euros pour Facebook (86 milliards de dollars de revenus en 2020).
Fin juillet 2019, Facebook avait été condamné à une amende record de 5 milliards de dollars par la FTC, l’autorité américaine de régulation des communications, pour ne pas avoir su protéger les données personnelles d’environ 400 millions de comptes…
Et la série noire n’est pas près de s’arrêter. Un fichier contenant 827 millions de comptes Linkedin vient d’être mis en vente sur un forum dédié au piratage. Son prix : 7 000 dollars.
Dans l'actualité
- Agriculture numérique : la protection des données en question
- La protection des données personnelles est renforcée en Californie
- Véhicules autonomes : les risques liés à la cybersécurité doivent être mieux pris en compte
- RGPD : un bilan mitigé
- Comme les êtres humains, l’IA repère difficilement ses erreurs d’appréciation
- Guerre en Ukraine : faut-il désinstaller les logiciels russes ?
Dans les ressources documentaires
- Comment protéger ses données et bases de données ?
- Comprendre les usages des réseaux sociaux dans vos projets
- Protection des données personnelles dans le système d’information
- Principaux protocoles de transmission de données
- Sécurité informatique pour la gestion des risques - Application aux systèmes d’information