Fin septembre, Facebook a rendu public un grave incident de sécurité affectant des millions de comptes, dont certains appartiennent à des Européens. Des dispositions contenues dans le RGPD pourraient entraîner des sanctions à l'encontre du réseau social.

C’est un incident de grande ampleur qu’a révélé Facebook. Dans un communiqué publié le 28 septembre, le réseau social a rendu publique l’existence d’une attaque informatique qui a potentiellement mis en danger 50 millions de comptes. Cette attaque a exploité une faille dans la fonction « Voir en tant que » (qui permet d’afficher un profil comme le verrait quelqu’un d’autre), qui été corrigée depuis.

Il s’avère que la vulnérabilité existait depuis juillet 2017. Les personnes derrière l’opération l’exploitaient-elles depuis tout ce temps ? Si c’est le cas, qu’ont-elles pu faire pendant cette période ? Peut-être beaucoup de choses : la brèche aurait permis aux pirates d’accéder non seulement au compte Facebook, mais aussi aux comptes d’autres sites où a été utilisée l’option Facebook Login.

Face à la criticité de l’affaire, Facebook a déconnecté de force les profils affectés et révoqué les jetons d’authentification (par contre, il n’a pas été requis de changer de mot de passe). Par ailleurs, la fonction « Voir en tant que » a été désactivée. Enfin, l’incident a été signalé aux autorités compétentes. En Europe, c’est la Cnil irlandaise, la Data Protection Commission (DPC), qui a été prévenue.

50 millions de profils concernés, au moins. // Source : Capture d’écran / Numerama

Notification insuffisante

Il ne s’agit pas d’un geste de responsabilité de la part de Facebook : le site ne fait que se conformer aux dispositions du règlement général sur la protection des données (RGPD). Celui-ci oblige de produire une notification à l’autorité compétente dans un délai de 72 heures en cas de violation des données personnelles. Sinon, une amende administrative peut être prononcée.

Les informations transmises par Facebook ont-elles été pertinentes et suffisantes ? Cela reste à voir : dans un communiqué, le DPC écrit que la notification « manque de détails » et se dit préoccuper par le fait que Facebook « n’a pas été en mesure de clarifier la nature de la violation et le risque pour les utilisateurs » (au moment du communiqué), alors que la brèche a été découverte le 25 septembre.

« Le DPC continue d’insister auprès de Facebook pour que ces questions soient clarifiées d’urgence », est-il ajouté. Dans le cas d’une entreprise comme Facebook, le non-respect de cette obligation peut conduire à une sanction financière s’élevant à 2 % du chiffre d’affaires annuel mondial, selon le RGPD. En 2017, Facebook a enregistré un chiffre d’affaires de plus de 40 milliards de dollars (soit près de 800 millions de dollars).

L’application Facebook sur iPhone. // Source : Quote Catalog

Protection adéquate ?

Mais cette amende n’est pas la seule sanction administrative qui pourrait s’abattre sur le réseau social. S’il est établi que les droits des individus ont été violés, l’entreprise fautive encourt une peine pouvant s’élever jusqu’à 4 % de son chiffre d’affaires mondial. Soit, dans le cas de Facebook, environ 1,6 milliard de dollars. Ce sont des plafonds : rien ne dit qu’ils seront atteints si une procédure est enclenchée.

Ce risque de sanction serait bien sûr tout à fait théorique s’il était établi que les comptes affectés n’avaient aucun lien avec l’Union européenne. Or, il s’avère au contraire que des Français et des Françaises figurent parmi les victimes potentielles, dont Mounir Mahjoubi, le secrétaire d’État en charge du numérique, qui demandait vendredi des explications à Facebook France. Dès lors, le RGPD est pertinent.

Partager sur les réseaux sociaux