Actus & medias > Actualités >
Vanessa Bouchara
Condamné par l’ICO (l’Information Commissioner’s Office) à une amende record de 500 000£ suite à l’affaire Cambridge Analytica, Facebook pourrait ouvrir le bal des sanctions prévues par l’article 83 du RGPD.
Si le montant de la sanction prononcée par l’ICO peut paraître dérisoire au regard de l’envergure de l’affaire et des conséquences de l’infraction commise par Facebook, c’est que le Data Protection Act de 1998 ne permettait pas à l’autorité britannique de prononcer une sanction plus élevée. Il ne fait aucun doute que l’amende aurait été beaucoup plus élevée si elle avait été prise sur le fondement du Data Protection Act de 2018 intégrant le RGPD dans le droit interne britannique.
Entré en vigueur depuis le 25 mai 2018, le règlement relatif à la protection des personnes physiques à l’égard du traitement des données (RGPD) a donné lieu à de nombreuses condamnations, avec un montant total des sanctions prononcées en 2020 s’élevant à 171 millions d’euros, dont une amende record de 35 millions d’euros prononcée à l’encontre de la filiale allemande d’H&M.
Pouvoir de sanction des autorités de contrôle
Pour une majorité d’Européens attachés à leurs droits fondamentaux, l’application de l’article 83 du RGPD était particulièrement attendu.
Cet article 83 confère un pouvoir de sanction sans précédent aux autorités de contrôle européennes en cas de violation du règlement par toute personne physique ou morale, responsable de traitement ou sous-traitant.
Les autorités de contrôle des États membres de l’Union européenne peuvent donc prononcer des amendes administratives pouvant s’élever jusqu’à 20 millions d’euros ou, dans le cas d’une personne morale, jusqu’à 4% du chiffre d’affaires annuel mondial total de l’exercice précédent, étant entendu que la sanction le plus élevée pourra être prononcée par l’autorité.
Une fois les sanctions théoriques présentées, il convient tout logiquement de se demander à quelle sanction s’expose Facebook, aussi bien théorique que pratique, sous l’empire du RGPD suite aux diverses cyberattaques à son encontre.
Tout d’abord, il convient d’identifier la nature des potentiels manquements au RGPD de ce dernier dans le cadre de ces cyberattaques.
Délai de notification des violations
L’article 33 du RGPD soumet les responsables de traitements à une obligation de notification à l’autorité de contrôle compétente de toute violation, avérée ou suspectée, de données à caractère personnel dans les meilleurs délais « et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques ».
A titre d’exemple, en publiant un communiqué public exactement 3 jours après la cyberattaque dont il a été victime, soit dans la journée du 28 septembre 2018, Facebook semble manifestement respecter les délais de notification imposés par l’article 33 du RGPD en cas de violation de données à caractère personnel.
Toutefois, il conviendra de rester attentif à la date de notification de la violation directement à l’autorité de contrôle irlandaise et non uniquement à la date de publication du communiqué informatif au grand public.
En effet, il est probable que la notification de la violation des données à la Data Protection Commission soit intervenue bien avant le communiqué publié puisque l’article 33 impose une notification « dans les meilleurs délais » de la violation de données à caractère personnel : le délai de 72 heures étant alors purement indicatif.
La notification par Facebook à l’autorité de contrôle irlandaise, immédiatement après la découverte de la violation des données à caractère personnel, pourrait alors démontrer un certain effort de transparence de la part de Facebook. Cependant, concernant le fuite de 2019, cependant, Facebook n’ayant pas contacté l’autorité, la sanction pourrait tomber ; mais une enquête a été ouverte le 14 avril 2021, Facebook arguant notamment que la fuite ait eu lieu avant l’entrée en vigueur du règlement, d’où l’absence de notification.
Contenu des notifications des violations
Le délai de la notification à la Data Protection Commission est essentiel, mais son contenu devra aussi être attentivement vérifié puisque ce même article 33 impose que la notification doive a minima :
- Décrire la nature de la violation y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernées ;
- Communiquer le nom et les coordonnées du DPO ou d’un autre point de contact auprès des informations supplémentaires peuvent être obtenues ;
- Décrire les conséquences de la violation ;
- Décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données.
Grands principes relatifs aux traitements des données
Indépendamment du respect de l’article 33, les responsables de traitement doivent également respecter les dispositions de l’article 5 du RGPD qui pose les grands principes relatifs aux traitements des données à caractère personnel.
Parmi ces grands principes figure l’obligation de traiter les données à caractère personnel de façon à garantir une sécurité appropriée de celles-ci, y compris contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées.
Le responsable de traitement doit donc pouvoir être en mesure de démontrer à tout moment le respect de cette obligation sur demande d’une autorité de contrôle.
Prouver le respect de cette obligation de sécurité lorsque l’on fait l’objet de cyberattaques « réussies » à intervalles réguliers n’est pas chose aisée puisque les responsables de traitement sont conscients de ces risques d’attaques depuis de nombreuses années.
En toute logique, et comme cible de choix des pirates, Facebook aurait peut-être dû adapter sa sécurité et prendre toutes « mesures techniques ou organisationnelles appropriées » pour empêcher la réitération de ces attaques et ainsi protéger l’intégrité et la confidentialité des traitements de données à très grande échelle qu’il réalise.
C’est donc bien sur le fondement de cet article 5 que la Data Protection Commission a décidé d’ouvrir le 3 octobre 2018 une enquête sur la cyberattaque de septembre 2018 et plus particulièrement sur les mesures techniques et organisationnelles prises par Facebook visant à assurer la sécurité et la sauvegarde des données à caractère personnel qu’il traite.
Sanctions prononçables par l’autorité chef de file
Si Facebook était amené à être sanctionné par l’autorité de contrôle irlandaise, pour défaut de sécurité des données à caractère personnel qu’il traite, suite aux cyberattaques dont il a fait l’objet, une sanction pouvant atteindre 4% de son chiffre d’affaires annuel mondial, soit près de 4 milliards de dollars pourrait alors être prononcée sur le fondement de l’article 83 en violation de l’article 5 ou de l’article 33 du RGPD.
Même si les conséquences dommageables des potentiels manquements de Facebook suite à cette cyberattaque sont transfrontalières, la Data Protection Commission est seule compétente à prononcer une sanction à l’encontre de Facebook, conformément à l’article 55 du RGPD qui définit le rôle nouveau des autorités de contrôle chef de file.
Actus récentes
La disponibilité du signe
Mise à jour le 07/01/2021
Pour être déposé à titre de marque, le signe choisi doit, en plus d’être licite et distinctif, être disponible(…)
Dans quelles circonstances un concurrent peut-il utiliser de manière licite la marque d’un tiers sur Internet ?
Mise à jour le 16/12/2021
La marque possède le pouvoir de fédérer une clientèle. De manière impulsive, instinctive, irréfléchie. Parfois, aveugle(…)
L’usage de photographies de tiers sans autorisation
Mise à jour le 24/12/2021
Les photographies sont considérées, selon l’article L.112-2 9° du Code de la propriété intellectuelle comme étant des œuvres de l’esprit.(…)
L’utilisation du produit d’un tiers dans une publicité : l’appréciation du caractère accessoire par les Tribunaux.
Mise à jour le 23/12/2021
Il arrive fréquemment que les annonceurs utilisent dans leurs publicités des produits de sociétés tierces qui sont des créations protégées au titre des droits d’auteurs(…)