Ce 27 septembre 2018, la formation restreinte de la CNIL a prononcé une sanction d’un montant de 30.000 euros contre l’association Alliance Française Paris Ile-de-France. Alors qu’un incident de sécurité avait été constaté sur son site internet dès novembre 2017, l’association n’avait pas corrigé le problème avant mars 2018, laissant accessible les données personnelles de ses membres assistant à des cours de français.
La CNIL aurait notamment souhaité que soient mis en place une procédure d’identification ou d’authentification des utilisateurs du site internet, voire un dispositif permettant d’éviter la prévisibilité des URL.
La Cnil reproche tout particulièrement à l’association son manque de diligence. Elle avait en effet procédé fin 2017 et début 2018 à deux contrôles en ligne et un contrôle dans les locaux, tous trois ayant révélé la présence de la faille de sécurité. L’ampleur du nombre de documents accessibles rendait plus grave encore la faille de sécurité, mais l’association n’a mis fin à la fuite de données qu’en mars 2018.
Depuis l’entrée en vigueur du RGPD le 25 mai 2018, toute fuite de données personnelles doit être signalée à la CNIL sous 72 heures et dans le cas où cette fuite constituerait un risque élevé pour les données personnelles de personnes concernées, elle doit également être notifiée aux intéressés.
La formation restreinte de la CNIL a également rappelé que le fait que la violation de données ait eu pour origine une erreur commise par un sous-traitant n’était en aucun cas un motif d’exonération de ses obligations par le responsable de traitement de données.
Le lendemain du prononcé de la sanction, Facebook annonçait que 50 millions de comptes utilisateurs avaient été touchés par le piratage de la clé numérique d’identification permettant de les maintenir connectés. La vulnérabilité qui a rendu possible le vol est apparue à la suite d’une mise à jour réalisée en juillet 2017.
Cette clé numérique permet d’accéder à tous les comptes liés au compte Facebook, ce qui inclut donc les comptes Instagram et What’s App des personnes concernées. L’ensemble des comptes ayant été victimes du piratage ou ayant été susceptibles de l’avoir été ont été déconnectés. Les utilisateurs concernés ont dû renseigner à nouveau leurs identifiants.
S’agissant de Facebook il s’agit donc d’un vol, mais pour les utilisateurs de la plateforme, le problème reste résolument le même : qui a eu accès à ces données et quels usages en ont ensuite été faits ?
Facebook a annoncé que la faille avait été réparée dans la nuit du 27 au 28 septembre et qu’aucune utilisation frauduleuse des éléments des comptes concernés n’avait été constatée. On notera cependant que Facebook ne s’est pas encore prononcé sur le nombre de comptes français concernés et n’a pas notifié directement la fuite de données aux utilisateurs. Les données susceptibles d’avoir été collectées comportent pourtant un risque élevé en matière d’atteinte à la vie privée des personnes car les comptes Facebook comprennent fréquemment l’âge, l’adresse, l’orientation sexuelle et les opinions politiques et religieuses des membres.