par Coralie RIBA, étudiante du Master 2 Droit des communications électroniques
Le 12 septembre 2024, Disney a annoncé cesser ses relations avec le service de communication interne Slack, société filiale de Salesforce. Cette annonce, faisant suite à une fuite massive de données survenue le 12 juillet dernier, révèle de nombreuses implications juridiques et de potentielles répercussions.
Chronologie des évènements : action des pirates vs réaction de Disney
Le 11 juillet 2024, the Walt Disney Company a été victime d’une cyberattaque revendiquée par le groupe Nullbulge lors de laquelle 1,1 Téraoctets d’archives, près de 19 000 feuilles de calculs, 44 millions de messages échangés, et au moins 13 000 fichiers PDF ont été publiés et diffusés sur la plateforme Breachforms avant d’être retirés peu de temps après, mais trop tard pour en empêcher la duplication sur des sites miroirs.
Si certains se veulent rassurants, comme Mark Benioff (CEO de Salesforce), cette attaque aurait tout de même engendré la publication d’informations sensibles comme du code informatique, des informations sur la stratégie commerciale et financière de Disney, des données sur des candidats reçus en entretien, et d’autres concernant des projets secrets.
En réaction à cette attaque, Hugh Johnston, directeur financier de Disney, a affirmé dans un mémo interne la cessation de l’utilisation de la messagerie Slack par ses employés d’ici la fin du 1er trimestre 2025 et envisage à terme de migrer vers la messagerie Teams de Microsoft.
Les dessous de l’attaque des « Hacktivistes »
Le groupe Nullbulge se considère comme un collectif d’activistes anti-IA et anti-cryptomonnaie. Ce collectif entend protéger les artistes des œuvres créées par IA générative, et assurer leurs droits à rémunération au titre du droit d’auteur. Or, Nullbulge utilise de toute évidence des techniques criminelles. Il est d’ores et déjà connu pour ses liens avec des groupes de ransomwares (virus ou logiciels bloquant l’accès aux données et exigeant une rançon) comme Lockbit ou encore pour avoir distribué des logiciels malveillants de vol de données (Async RAT, Xworm).
Un impératif de sécurité accrue face à des vulnérabilités résiduelles
Avant même cette attaque, Slack n’était pas exempt de toute mesure préventive, il proposait par exemple des Data loss protection (DLP) permettant d’alerter en cas de partage de données sensibles, ou encore une fonctionnalité Enterprise Key Managment (EKM) visant à renforcer le chiffrement des données.
Nul n’en doute, les cyberattaques contre les grandes entreprises et les grands groupes ne sont pas nouvelles. En 2014, Sony Pictures Entertainment a été victime d’un piratage historique dont les pertes ont été estimées à plus de 100 To de données, ayant conduit à l’annulation temporaire d’une parodie du régime nord-coréen, « The interview ».
Plus spécifiquement, la messagerie Slack a été victime de cyberattaques, comme en 2022 impactant des employés Uber, ou encore en 2023 faisant pour victime la grande entreprise de développement et d’édition de jeux vidéo Activision. Ces cyberattaques, dont la liste ne cesse de s’allonger, soulignent l’urgence de mettre en place une vigilance constante, car les groupes de hackers ont pour l’instant presque toujours un coup d’avance.
Quelles conséquences pour le géant du divertissement ?
Protection des données : responsabilités et articulation des législations
L’enquête relative à cette fuite massive est en cours. La législation applicable dépendra de la localisation des victimes, de la nature des données compromises et du lieu des serveurs où l’incident s’est produit. Il semble de toute évidence que plusieurs textes juridiques seront étudiés : des lois américaines comme le California Consumer Privacy Act, mais aussi le Règlement Général de Protection des Données (RGPD) qui s’applique à toute organisation traitant des données personnelles de résidents de l’Union européenne, indépendamment de la localisation de l’entreprise.
Mais qui est responsable de l’attaque en cas de fuite de données ?
Bien que Nullbulge soit l’auteur de l’attaque et pénalement responsable, une responsabilité partagée impliquant Disney en tant que responsable de traitement pourra être recherchée, ce dernier étant soumis à plusieurs obligations en matière de violation des données par le RGPD.
La violation de données est définie par le règlement comme « entraînant […] la destruction, la perte, l’altération, la divulgation […] ou l’accès non autorisé à de telles données. ». A cet égard, Disney est tenu de documenter, en interne sous forme d’un registre, la violation venant de se produire, la notifier aux autorités compétentes dans un délai maximal de 72h si elle entraîne un risque pour les droits et libertés des personnes concernées, et dans le cas où le risque est élevé, la communiquer le plus rapidement possible aux personnes concernées (art 34 et 35 du RGPD).
Plus généralement, Disney doit mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque et s’assurer de la protection des données dès la conception et par défaut de ses systèmes de traitement automatisé des données.
A défaut, une sanction administrative allant jusqu’à 4% du chiffre d’affaires mondial ou 20 millions d’euros pourrait être prononcée, le montant le plus élevé étant retenu.
Comment articuler les différentes législations ?
En tant que multinationale, Disney est soumis à différentes législations. Quand bien même une harmonisation générale existe entre le RGPD et les lois américaines, le premier semble avoir davantage d’exigences en matière de consentement. Rassurons-nous, l’entreprise Disney a fort probablement mis en place des politiques de conformité applicables à l’échelle mondiale, restreignant les possibles conflits de lois.
Réputation altérée, impacts sur la concurrence et défis en propriété intellectuelle
Les conséquences de cette cyberattaque ne touchent pas seulement la protection des données personnelles mais semblent bien plus larges.
Un préjudice réputationnel semble indéniable. Suite à cette violation de données, la confiance des utilisateurs et des nombreux partenaires et collaborateurs de Disney est mise à l’épreuve, risquant d’impacter l’image de l’entreprise.
Si certains consommateurs ont vu leurs données personnelles fuiter, ils pourraient s’appuyer sur le droit à réparation de l’article 82 du RGPD afin d’intenter une action collective ou individuelle. Mais d’autres recours sont possibles : engager une action civile individuelle fondée sur le droit au respect de la vie privée protégé par l’article 9 du Code civil, voire une action pénale en fonction des données ayant fuité.
Sur le plan du droit de la concurrence et du droit des affaires, la valeur boursière de l’entreprise peut décroître, et certains actionnaires pourraient poursuivre Disney si des données relatives à leurs transactions ont été diffusées. La position concurrentielle de Disney risque d’être altérée en raison des données sensibles relatives aux stratégies financières et commerciales divulguées. Des pratiques anticoncurrentielles, interdites par le Traité du Fonctionnement de l’Union Européenne peuvent émerger comme les abus de position dominante sur un marché, ou des pratiques concertées lors desquelles certains concurrents de Disney pourraient coordonner leur comportement suite à cette fuite, faussant ainsi le libre jeu de la concurrence.
Des inquiétudes sont également perçues sur le terrain du droit de la propriété intellectuelle, notamment concernant la violation potentielle des droits d’auteur et des secrets commerciaux. Des informations sur des projets non officiellement annoncés ont été divulguées, comme le nouveau jeu de Disney « Alien Fireteam Elite 2 » prévu pour fin 2025, mais aussi un nouveau personnage de la série Gravity Falls et des skins pour le jeu Fortnite. Cela porte atteinte à la protection des droits d’auteur et au secret des affaires protégé par la directive européenne 2016/943 relative à la protection des savoir-faire et des informations commerciales non divulguées.
La très récente attaque de Free témoigne de l’importance de remodeler constamment les stratégies de cybersécurité. Ce type de cyberattaques semble sans nul doute n’être que le début d’une guerre du numérique opposant les détracteurs aux grands groupes leaders de l’Entertainment ou plus globalement des communications électroniques.
Coralie Riba
SOURCES :
BBC-Disney investigating massive leaks of internal message
Wall Street Journal – Leaked Disney data reveals financiel and strategy secrets
Wall Street Journal – Internal Disney communications leaked online after hack
Les Echos – Victime d’un vol de données Disney veut interdire Slack