Spécialistes en droit de la propriété intellectuelle
Accueil > Actualités et médias > Blog propriété intellectuelle >Fuites de données personnelles et RGPD, a quoi s'expose réellement Facebook?

Fuites de données personnelles et RGPD, a quoi s'expose réellement Facebook?

15
NOV.
Par Florian Viel - Blog propriété intellectuelle
Condamné par l’ICO (l’Information Commissioner’s Office) à une amende record de 500 000£ suite à l’affaire Cambridge Analytica, Facebook pourrait ouvrir le bal des sanctions prévues par l’article 83 du RGPD.

Si le montant de la sanction prononcée par l’ICO peut paraître dérisoire au regard de l’envergure de l’affaire et des conséquences de l’infraction commise par Facebook, c’est que le Data Protection Act de 1998 ne permet pas à l’autorité britannique de prononcer une sanction plus élevée.

Il ne fait aucun doute que l’amende aurait été beaucoup plus élevée si elle avait été prise sur le fondement du Data Protection Act de 2018 intégrant le RGPD dans le droit interne britannique.

La dernière cyberattaque d’envergure dont a été victime Facebook le 25 septembre dernier pourrait bien être à l’origine du prononcé de la première sanction administrative conséquente prise sur le fondement de l’article 83 du RGPD par l’autorité de contrôle irlandaise (Data Protection Commission). 

 


 

Entré en vigueur depuis déjà 6 mois, le règlement relatif à la protection des personnes physiques à l’égard du traitement des données (RGPD) n’a pas encore été le fondement de sanctions dissuasives prononcées par les autorités de contrôle des États membres de l’Union européenne si ce n’est la sanction de 400 000 euros prononcée par la Comissão Nacional de Proteção de Dados, l’autorité de contrôle portugaise, à l’encontre du Centre Hospitalier Barreiro-Montijo.

  • Pouvoir de sanction des autorités de contrôle

Pour une majorité d’Européens attachés à leurs droits fondamentaux, l’application de l’article 83 du RGPD se fait attendre.

Cet article 83 confère un pouvoir de sanction sans précédent aux autorités de contrôle européennes en cas de violation du règlement par toute personne physique ou morale, responsable de traitement ou sous-traitant.

Les autorités de contrôle des États membres de l’Union européenne peuvent désormais prononcer des amendes administratives pouvant s’élever jusqu’à 20 millions d’euros ou, dans le cas d’une personne morale, jusqu’à 4% du chiffre d’affaires annuel mondial total de l’exercice précédent, étant entendu que la sanction le plus élevée pourra être prononcée par l’autorité.

Une fois les sanctions théoriques présentées, il convient tout logiquement de se demander à quelle sanction s’expose Facebook, aussi bien théorique que pratique, sous l’empire du RGPD suite à la cyberattaque d’envergure du 25 septembre dernier.

Tout d’abord, il convient d’identifier la nature des potentiels manquements au RGPD de ce dernier dans le cadre de cette dernière cyberattaque.

  • Délai de notification des violations

L’article 33 du RGPD soumet les responsables de traitements à une obligation de notification à l’autorité de contrôle compétente de toute violation, avérée ou suspectée, de données à caractère personnel dans les meilleurs délais « et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques ».

En publiant un communiqué public exactement 3 jours après la cyberattaque dont il a été victime, soit dans la journée du 28 septembre, Facebook semble manifestement respecter les délais de notification imposés par l’article 33 du RGPD en cas de violation de données à caractère personnel.

Toutefois, il conviendra de rester attentif à la date de notification de la violation directement à l’autorité de contrôle irlandaise et non uniquement à la date de publication du communiqué informatif au grand public.

En effet, il est probable que la notification de la violation des données à la Data Protection Commission soit intervenue bien avant le communiqué publié puisque l’article 33 impose une notification « dans les meilleurs délais » de la violation de données à caractère personnel : le délai de 72 heures étant alors purement indicatif.

La notification par Facebook à l’autorité de contrôle irlandaise, immédiatement après la découverte de la violation des données à caractère personnel, pourrait alors démontrer un certain effort de transparence de la part Facebook.

  • Contenu des notifications des violations

Le délai de la notification à la Data Protection Commission est essentiel, mais son contenu devra aussi être attentivement vérifié puisque ce même article 33 impose que la notification doive a minima :

-          Décrire la nature de la violation y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernées ;

-          Communiquer le nom et les coordonnées du DPO ou d’un autre point de contact auprès des informations supplémentaires peuvent être obtenues ;

-          Décrire les conséquences de la violation ;

-          Décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données.

  • Grands principes relatifs aux traitements des données

Indépendamment du respect de l’article 33, les responsables de traitement doivent également respecter les dispositions de l’article 5 du RGPD qui pose les grands principes relatifs aux traitements des données à caractère personnel. 

Parmi ces grands principes figure l’obligation de traiter les données à caractère personnel de façon à garantir une sécurité appropriée de celles-ci, y compris contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées.

Le responsable de traitement doit donc pouvoir être en mesure de démontrer à tout moment le respect de cette obligation sur demande d’une autorité de contrôle.

Prouver le respect de cette obligation de sécurité lorsque l’on fait l’objet de cyberattaques « réussies » à intervalles réguliers n’est pas chose aisée puisque les responsables de traitement sont conscients de ces risques d’attaques depuis de nombreuses années.

En toute logique, et comme cible de choix des pirates, Facebook aurait peut-être dû adapter sa sécurité et prendre toutes « mesures techniques ou organisationnelles appropriées » pour empêcher la réitération de ces attaques et ainsi protéger l’intégrité et la confidentialité des traitements de données à très grande échelle qu’il réalise.

C’est donc bien sur le fondement de cet article 5 que la Data Protection Commission a décidé d’ouvrir le 3 octobre une enquête sur cette cyberattaque et plus particulièrement sur les mesures techniques et organisationnelles prises par Facebook visant à assurer la sécurité et la sauvegarde des données à caractère personnel qu’il traite.

  • Sanctions prononçables par l’autorité chef de file

Si Facebook était amené à être sanctionné par l’autorité de contrôle irlandaise, pour défaut de sécurité des données à caractère personnel qu’il traite, suite à la cyberattaque dont il a fait l’objet le 25 septembre dernier, une sanction pouvant atteindre plus de 8 milliards de dollars pourrait alors être prononcée sur le fondement de l’article 83 en violation de l’article 5 ou de l’article 33 du RGPD.

Même si les conséquences dommageables des potentiels manquements de Facebook suite à cette cyberattaque sont transfrontalières, la Data Protection Commission serait seule compétente à prononcer une sanction à l’encontre de Facebook, conformément à l’article 55 du RGPD qui définit le rôle nouveau des autorités de contrôle chef de file.

    Aucun commentaire
styloLaisser un commentaire