La CNIL a infligé une amende de 50 000 euros à Dailymotion, à la suite de son piratage subi en 2016. Pourtant des millions de mails et de mots de passe ont été dérobés. Mais des circonstances atténuantes ont été trouvées.

C’est ce qui s’appelle une toute petite tape sur les doigts. La CNIL annonce jeudi 2 août avoir infligé une amende de 50 000 euros à Dailymotion pour avoir méconnu les exigences de la loi Informatique et Libertés, et plus particulièrement de celles de l’article 34 qui obligent le responsable du traitement informatique à correctement sécuriser les données personnelles.

La sanction apparaît extrêmement faible au regard de l’incident grave qui s’est déroulé en 2016, puisque la plateforme française de streaming vidéo avait fait l’objet d’une intrusion informatique. Cet accès frauduleux a mené au piratage de sa base de données et à la copie de 82,5 millions d’adresses de courrier électronique et de 18,3 millions de mots de passe (mais ceux-ci étaient heureusement chiffrés).

« Cette attaque n’aurait pas pu aboutir si certaines mesures élémentaires en matière de sécurité avaient étés mises en place », affirme le communiqué de la Commission nationale de l’informatique et des libertés, et cela même si elle admet que l’attaque subie par le site « était sophistiquée ». Dailymotion estime ainsi qu’elle a mobilisé vraisemblablement plusieurs personnes sur plusieurs mois.

Mais pourquoi une amende aussi basse alors que la CNIL reconnaît que ce piratage met en cause un « nombre très important de données » ?

Circonstances atténuantes

Dans sa délibération, la formation restreinte de l’autorité administrative met en avant plusieurs arguments, à commencer par une pleine coopération de la plateforme avec ses services. Le caractère complexe de l’opération est aussi souligné. En clair, « l’attaque dont elle a été victime n’est pas le résultat d’une négligence de sa part », lit-on dans le document publié au Journal officiel.

Les investigations de la CNIL ont aussi relevé que « les seules données à caractère personnel concernées sont des adresses de courriers électroniques dont une partie n’est pas identifiante car non associées à des personnes physiques mais à des comptes test ou à des noms de sociétés partenaires ». De plus, le nombre de catégories de données extraites est « réduit » (il n’y en a que deux : mail et mot de passe), et que les mots de passe sont eux-mêmes chiffrés.

Tout ceci fait dire à l’autorité que cela « est de nature à diminuer le risque d’atteinte à la vie privée des personnes concernées ».

Des dispositions « de nature à diminuer le risque d’atteinte à la vie privée des personnes concernées »

Enfin, la Commission nationale de l’informatique et des libertés observe que Dailymotion « a immédiatement pris des mesures afin d’en atténuer les effets négatifs [du piratage] », qu’il n’y a eu aucune plainte d’internaute lésé et que la plateforme s’est abstenue de tirer un avantage quelconque de son manquement en matière de sécurisation. Pour toutes ces raisons, une amende plus élevée aurait été disproportionnée.

Cela étant, à la peine pécuniaire, la CNIL a décidé d’ajouter une sanction médiatique, en rendant publique cette délibération, pour deux raisons : d’abord, il y a quand même eu un nombre excessivement important de données qui ont été extraites en 2016, même s’il a été relevé que Dailymotion n’a pas gravement fauté.

Ensuite, il s’agit aussi de faire une piqûre de rappel en direction de tous les responsables de traitement. Vu le « contexte actuel dans lequel se multiplient les incidents de sécurité et de la nécessité de sensibiliser les internautes quant aux risques pesant sur la sécurité de leurs données », écrit la CNIL, il lui est apparu la nécessité de faire la publicité de cette peine