35 millions de dollars. Tel est le montant de la pénalité qui a été infligée à Yahoo, qui a été rebaptisée en Altaba, par l’autorité de régulation des marchés financiers aux USA. La sanction, annoncée mardi 24 avril, a été prise « pour solder les accusations selon lesquelles elle a induit les investisseurs en erreur en omettant de divulguer l’une des plus importantes atteintes à la protection des données au monde ».
Le régulateur américain fait ici référence au piratage de l’infrastructure technique du portail web, fin 2014. Lorsque cet accès frauduleux a été communiqué au public, au mois de septembre 2016, l’entreprise américaine expliquait qu’une fuite de données concernant plus de 500 millions de comptes avait eu lieu. D’après Yahoo, cette opération a été rendue possible grâce au soutien d’un État.
CC Scott Schiller
« Bien que les éléments relatifs à l’infraction aient été communiqués aux membres de la haute direction et du service juridique de Yahoo, Yahoo n’a pas enquêté correctement sur les circonstances de la violation et n’a pas examiné de manière adéquate si la violation devait être divulguée aux investisseurs », dit l’autorité. C’est pour cette raison que certains de ces investisseurs ont poursuivi Yahoo.
Ce n’est que lorsque Yahoo a commencé à intéresser l’opérateur américain Verizon, dans le cadre d’un rachat alors estimé à 4,8 milliards de dollars, finalement ramené à la suite de ces révélations à 4,48 milliards de dollars pour faire passer la pilule, que la divulgation sur le piratage a eu lieu (un autre, survenu en 2013 et bien plus grave car il a concerné tous les comptes, sera annoncé quelques mois plus tard).
Notification en cas d’incident
En matière de divulgation à la suite d’un piratage, Yahoo n’est pas la seule entreprise à avoir fauté. Dans le cas du piratage de la société Uber, révélé fin novembre 2017, on apprenait que les données de 57 millions de clients avaient été dérobées, dont celles de 1,4 million de Français. Il était alors apparu que le spécialiste de la mise en contact du public avec des chauffeurs proposant un service de transport était resté muet.
Ce problème est pris en compte dans le Règlement général sur la protection des données, qui entre en application le 25 mai prochain. Des articles encadrent un droit d’information en cas de piratage de données, au moins à l’égard des autorités de protection, comme la Cnil en France. La notification aux particuliers est aussi évoqué, mais elle est en option car elle plusieurs paramètres doivent être pris en compte.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !
