« Annus Horibilis ». C’est ainsi que la société UBER pourrait résumer son année 2017. Mise à mal par de nombreuses révélations (harcèlement sexuel, procès contre Google etc. …), la société de société de location de voitures avec chauffeur vient d’être secouée par un nouveau scandale. Le 21 novembre 2017, l’entreprise américaine a révélé avoir été victime d’un piratage informatique survenu en … octobre 2016. 57 millions de données – concernant les utilisateurs et les chauffeurs- ont été piratées par deux individus. Ce n’est pas tant la révélation d’un piratage informatique qui a créé la polémique mais plutôt sa gestion par l’entreprise américaine.
Passé sous silence, cet incident a été révélé un an après les faits. Selon le New York Times, l’entreprise aurait conclu un accord financier avec les pirates informatiques sous l’aval de Travis Kalanick, fondateur et PDG d’UBER jusqu’en juin 2017. Verser 100 000 dollars en échange de la promesse d’effacer les données volées, telle fut la stratégie déployée.
Les autorités de protection des données personnelles de plusieurs pays ont annoncé l’ouverture d’enquêtes sur cette fuite massive de données et notamment sur sa gestion. En Europe, le G29, organisation réunissant les représentants de chaque CNIL européenne, a décidé de mettre en place un groupe de travail, dirigé par la CNIL néerlandaise – le siège européen d’UBER étant située à Amsterdam- et rassemblant ses homologues français, italiens, espagnols, belges, allemands et britanniques afin de coordonner les différentes enquêtes.
Le secrétaire d’Etat français au numérique, Mounir Mahjoudi, a écrit le jeudi 23 novembre dernier au PDG d’Uber pour exprimer son inquiétude « quant à l’éventuelle présence en très grand nombre de clients et chauffeurs français ». Le secrétaire d’Etat souligne qu’aucune autorité française et ni la CNIL n’ont été saisi ou alerté, et met en exergue les responsabilités de l’entreprise au vu de son « importance ». Enfin, il demande des éclaircissements sur le nombre d’utilisateurs français touchés et sur la nature des données dérobées.
La révélation de cet incident intervient à quelques mois de l’entrée en vigueur du Règlement européen sur la protection des données personnelles (RGPD). Le secrétaire d’Etat en fait également référence dans sa lettre : « le règlement européen (…) établira des obligations de notification pour de pareil cas ». Comment le RGPD innove-t-il en matière de sécurité ?
La sécurité renforcée par le RGPD au stade du fichier de traitement
Actuellement, aux termes de l’article 34 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (plus connue sous le nom de loi Informatique et Libertés) une obligation de sécurité incombe au responsable de traitement. Ce dernier doit prendre des « précautions utiles » pour garantir la sécurité des données qu’il a collectées et éviter que qu’elles ne soient déformées, endommagées ou que des tiers non autorisées y aient accès.
Cette obligation de sécurité est reprise et renforcée à l’article 32 du Règlement européen. Toutefois, le RGPD opère un changement de terminologie. Désormais à partir du 25 mai 2018, date d’entrée en vigueur dudit règlement, le responsable de traitement et le sous-traitant ne doivent plus prendre des « précautions utiles » mais doivent mettre en œuvre « les mesures techniques et organisationnelles » appropriées afin de garantir un niveau de sécurité adapté au risque. L’article détaille une liste de telles mesures comme la pseudonymisation et le chiffrement. La liste n’est cependant pas technique afin de ne pas brider le responsable de traitement dans des procédures techniques spécifiques. Il s’agit alors de mettre en place :
- « Des moyens permettant de garantir la confidentialité l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
- des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;
- une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement ».
Ce changement de terminologie n’est pas cependant une création du RGPD. En effet, l’article 17 de la directive du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, imposait déjà au responsable de traitement de prendre des mesures techniques et d’organisation appropriées en vue de protéger les données. Or, le législateur n’est pas venu modifier l’article 34 de la loi Informatique et Libertés suite à cet article 17.
L’article 32 du RGPD précise que l’obligation de sécurité pèse sur le responsable de traitement « compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques ». Ainsi, la question de la sécurité des données s’exécute en deux temps. Premièrement, le responsable de traitement doit analyser « le risque de sécurité, la gravité du risque, l’impact sur les personnes concernées ». Dans un second temps, selon la nature du risque et selon sa répercussion sur les données personnelles, le recours à des mesures de sécurité devra être envisagé.
La CNIL a émis un guide en 2010 sur la sécurité qui reprenait ce schéma à deux étapes. Elle en rajoute néanmoins deux supplémentaires afin d’obtenir une sécurité optimale. Outre l’analyse du risque de sécurité et la mise en place des mesures techniques, la CNIL recommande de passer par une étape préalable qui est le recensement des traitements de données à caractère personnel, des données traitées et des supports sur lesquels elles reposent (étape 1) afin d’apprécier le risque de chaque traitement (étape 2) pour établir ensuite les mesures (étape 3). Enfin, la CNIL précise que l’obligation de sécurité est continue c’est-à-dire qu’elle dure tout au long de la vie du traitement de fichier (étape 4). Ce guide amorçe la philosophie du RGPD.
Le Règlement européen instaure une véritable culture de la protection des données personnelles au sein des entreprises. L’anticipation en termes de sécurité est le mot d’ordre du RGPD. Il ne s’agit plus uniquement de protéger les données mais d’envisager le risque en amont et de le prévenir en aval. La sécurité n’est pas limitée au stockage des données mais elle doit être estimée tout au long de l’existence du fichier de traitement. A la lecture du règlement, on notera que la notion de sécurité est omniprésente. Ainsi, l’article 25 du RGPD dispose que la sécurité doit être intégrée dès la conception (privacy by design) et dès la collecte des données (privacy by default). La protection des données se fait à tous les niveaux de processus. L’objectif du législateur européen est de prendre en compte les droits et les intérêts des individus dès la conception du traitement de données et des paramétrages par défaut. L’étude d’impact prévue à l’article 35 est une autre création du RGPD œuvrant à la sécurité des données. Le responsable de traitement doit effectuer une analyse d’impact relative à la protection des données pour évaluer, en particulier, l’origine, la nature, la portée, le contexte, la particularité et la gravité de ce risque d’un traitement susceptible d’exposer les personnes à un risque élevé au regard de leurs droits et libertés.
Le responsable de traitement mais plus généralement l’entreprise dont il dépend devient un acteur primordial de la sécurité. Le RGPD instaure en réalité un véritable changement de mentalité. Fini les formalités déclaratives a priori auprès de la CNIL, l’entreprise doit mettre en place son fichier de traitement en envisageant elle-même toutes les répercussions des éventuelles brèches dans la protection des données personnelles.
Mais ce changement est-il possible ? L’article 32 du règlement ne présenterait-il pas une faille, constituant une limite à la notion la sécurité tant chérie par le RGPD ? On peut voir que l’appréciation du risque est conditionnée « compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques ». Comment et par quels procédés évaluer le niveau de sécurité approprié ainsi que les risques ? Concrètement, pour mettre en place cette nouvelle culture, le dialogue entre les opérationnels techniques et les juristes ou le délégué à la protection des données (appelé DPO pour Data protection officer) sera primordial. Il reviendra aux premiers d’informer ces derniers afin qu’ils puissent opérer les choix des mesures de sécurité les plus judicieux. Les juristes ou le DPO, quant à eux auront un rôle informationnel et devront mettre en place des chartes, de la documentation etc… Entre les deux, une personne devra choisir la ligne directrice : il s’agira du responsable de traitement. Maître Capriolo, avocat à la Cour de Paris, relève qu’en terme de cybersécurité, une « démarche transversale » s’impose en entreprise reposant sur « un tryptique : droit, technique et organisation ».
L’obligation du responsable de traitement renforcée par le RGPD en cas de faille de sécurité
Comme le mentionne le secrétaire d’Etat au numérique, dès l’entrée en vigueur du règlement, les violations de données à caractère personnel ne devront être plus faire l’objet d’un tel secret.
L’article 33 du RGPD généralise le devoir de notification qui était jusque-là réservé aux services de communications électroniques depuis la directive 2002/58/CE sur la vie privée et les communications électroniques. En effet ni la loi Informatique et Libertés dans sa version originelle et ni la directive de 1995 n’avaient prévu un tel mécanisme. La directive de 2002 précitée est venue rajouter un article 34 bis à la loi Informatique et Libertés qui dispose que « le présent article s’applique au traitement des données à caractère personnel mis en œuvre dans le cadre de la fourniture au public de services de communications électroniques sur les réseaux de communications électroniques ouverts au public, y compris ceux prenant en charge les dispositifs de collecte de données et d’identification ».
Le règlement comble cette lacune et dispose que désormais « le responsable de traitement devra notifier à l’autorité de contrôle compétente dans les meilleurs délais, et si possible, 72 heures au plus tard après en avoir pris connaissance » en cas de faille de violation de toute données personnelles sauf si la violation ne paraît pas faire courir de risque aux droits et libertés individuelles des personnes concernées. Le sous-traitant est également soumis à une obligation de notification auprès du responsable du traitement « dans les meilleurs délais après en avoir pris connaissance ». L’article 33 précise la nature et le contenu de cette notification : elle doit contenir le descriptif de la violation des données en précisant les catégories et le nombre approximatif de personnes concernées, le nombre approximatif d’enregistrements de données concernés, le contact du DPO, la description des conséquences probables de la violation ainsi que la description des mesures prises pour remédier à la violation de données ou en atténuer les effets négatifs. Le responsable de traitement doit justifier des mesures prises suite à la faille.
L’obligation de notification du responsable de traitement est double. En application de l’article 34 du RGPD, ce dernier doit également notifier à la personne concernée dans les meilleurs délais « lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique ». Les failles faisant courir un risque aux droits et libertés individuelles aux personnes concernées devront être communiquées à la CNIL mais seules celles qui exposent ces dernières à un risque élevé devront leur être notifiées.
L’article 34 du RGPD détermine également le contenu de la notification à la personne concernée, qui est très similaire de celui de la notification de l’article 33 auquel il est renvoyé. La principale différence tient au délai de notification. L’article 34 indique qu’il faut procéder « sans retard justifié ». Le responsable du traitement est déchargé de son obligation :
- « lorsqu’il a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces dernières ont été appliquées aux données à caractère personnel affectées par ladite violation » :
- ou lorsqu’il a pris « des mesures ultérieures garantissant que le risque élevé pour les droits et libertés des personnes concernées n’est plus susceptible de se réaliser » ;
- lorsque la communication aux personnes concernées exigerait « des efforts disproportionnés ». Dans cette dernière hypothèse, le règlement requière plutôt une information publique.
Des difficultés pourront-elles surgir concernant l’appréciation du risque ? On peut déjà entrevoir les différentes manœuvres déployées par les entreprises afin de se délester d’une telle obligation, d’autant plus les exceptions de l’article 34 laissent une très grande large manœuvre d’appréciation pour les responsables de traitement.
Mais cette large manœuvre d’appréciation ne participe-t-elle à la logique du RGPD qui tend à renverser la responsabilité des acteurs traitant des données ? Les entreprises ne sont plus de simples propriétaires des données mais des utilisatrices. Dans cette perspective, elles doivent réagir promptement en avertissant les personnes concernées qui leurs confient leurs données. L’appréciation du risque laissé au responsable du traitement ne serait-elle pas illusoire ? Les délais imposés (72 heures pour l’article 32 et « sans retard justifié » pour l’article 34) laissent peu de place à des subterfuges pour que les entreprises se déchargent de leurs obligations. En outre, les sanctions pécuniaires de l’article 83 sont très dissuasives.
Le silence observé par la plateforme au sujet de ce piratage informatique et l’absence de notification auprès des personnes vont à l’encontre des obligations du responsable de traitement figurant dans le RGPD. Outre le défaut de sécurisation qui peut être en l’état actuel sanctionné par la loi Informatique et Libertés, il sera reproché, sous l’ère du RGPD, l’absence de notification de la violation telle que prévue aux articles 33 et 34. Il ne semble pas qu’UBER pourrait se décharger de son obligation de notifications aux personnes concernées dans la mesure où la violation engendre un risque élevé pour leurs droits et libertés. Le groupe G29 est venu préciser que le risque est élevé lorsque la violation de données peut conduire à un dommage physique, matériel ou moral pour les individus concernés. Il doit être évalué selon différents critères notamment le type de violation, la nature, la quantité de données concernées etc. A défaut de précision par la société américaine, il est juste d’envisager que le vol des données connu par UBER présente un haut risque. Il est à souligner que société UBER fait actuellement l’objet d’une campagne de pishing. Plusieurs internautes ont reçu un faux mail d’excuse de la société UBER les invitant à changer leur mot de passe. Or, le lien envoie sur un site de phishing mis en place pour récupérer les identifiants des piégés.
La sécurité des données personnelles, socle du RGPD, ne semble pas avoir été l’objectif premier de la société UBER. Pourtant la sécurité des données personnelles est un enjeu clé pour la stratégie économique d’une entreprise à l’heure où les cyberattaques représentent la première menace pour les entreprises. En 2016, 57% d’entre elles ont déclaré en avoir fait l’objet. Assurer la confidentialité, autre volet de la sécurité, est une stratégie marketing qu’elles ne doivent pas négliger. Se doter d’une sécurité minimale permet une confiance réciproque entre le client et l’entreprise. Les failles de sécurité au sein d’une entreprise ne font que décrédibiliser la marque et ses valeurs. En ce sens, le slogan « Profitez d’une course en toute sécurité avec Uber» mis en évidence sur le site internet français d’UBER parait désormais ironique.
SOURCES
ADRIEN LELIEVRE « Plus d’un million de Français touchés par le piratage d’Uber », Les Echos.fr, publié en ligne le 15/12/2017, consulté le 15/12/2017
ANONYME « Piratage d’Uber : le secrétaire d’Etat au numérique français demande des explications », Le Monde.fr, publié le 23/11/2017, consulté le 01/12/2017 http://www.lemonde.fr/pixels/article/2017/11/23/piratage-d-uber-le-secretaire-d-etat-au-numerique-francais-demande-des-explications_5219452_4408996.html
ERIC A. CAPRIOLI, « Dans la jungle de la cybersécurité », l’Usine digitale, publié le 30/11/2017, consulté le 01/12/201, https://www.usine-digitale.fr/article/dans-la-jungle-de-la-cybersecurite.N620933
JULIEN CADOT « Vol de données chez Uber : une campagne de pishing joue sur la mauvaise communication de l’entreprise » Numerama.com, publié le 23/11/17, consulté le 01/12/2017, http://www.numerama.com/tech/308776-vol-de-donnees-chez-uber-une-campagne-de-phishing-joue-sur-la-mauvaise-communication-de-lentreprise.html?utm_content=buffer4995d&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer
FLORENT GASTAUD « Vol de données Uber : quelles obligations aurait dû respecter le groupe américain sous l’ère RGPD », village-justice.com, publié le 30/11/2017, consulté le 30/11/2017, https://www.village-justice.com/articles/vol-donnees-uber-quelles-obligations-aurait-respecter-groupe-americain-sous-ere,26604.html
Commission Nationale de l’informatique et des Libertés, « Guide La sécurité des données personnelles », éditions 2010, 44 pages