Faille Ashley Madison : les questionnements sur l’effectivité du système européen de protection des données personnelles

Nathalie-Métallinos-article

Nathalie Métallinos, avocate à la Cour, Senior Counsel, Bird & Bird AARPI

Au mois d’août 2015, les pirates responsables de la faille Ashley Madison ont divulgué les données personnelles de plus de 30 millions d’utilisateurs – dont  260.000 utilisateurs français[1]. Parmi les données figureraient des données qui auraient dû être supprimées, les utilisateurs ayant même payé pour ce faire[2]. De plus, il semblerait que la sécurité des mots de passe des utilisateurs n’était pas parfaitement garantie[3] avec pour conséquence un risque accru d’usurpation d’identité. L’on apprend désormais que des victimes du piratage font l’objet de chantage, les pirates menaçant d’envoyer à tous leurs contacts Facebook ou à ceux de leur compte de courriel leurs « photos, fantasmes et conversations intimes »[4]

Des doutes sur la protection assurée par la législation européenne en matière de protection des données

L’ampleur et les conséquences de la faille de sécurité questionnent l’effectivité de la règlementation européenne.  En effet, si les circonstances connues de la faille devaient être confirmées, elles constitueraient une violation de l’obligation de sécurité qui est l’une des obligations essentielles de la législation en matière de protection des données. Or, l’objectif même de la réglementation en matière de protection des données est de prévenir la survenance de ces risques qui laissent les utilisateurs désemparés.

Si, en l’espèce, la réaction de la CNIL se fait attendre, c’est qu’a priori la loi Informatique et libertés du 6 janvier 1978 modifiée en 2004 ne s’applique pas. En effet, les règles de compétence territoriale issues de la directive européenne de 1995 sont complexes et permettent des pratiques de forum shopping[5]. Ainsi, bien que le service soit opéré par une société canadienne et cible des utilisateurs français, c’est la loi Chypriote qui s’appliquerait, Ashley Madison étant établi à Chypre via l’une de ses filiales, qui, juridiquement est l’exploitant du site pour les utilisateurs européens. Le fait qu’Ashley Madison puisse utiliser des serveurs ou autres moyens de traitement–comme des cookies placés sur les terminaux des utilisateurs– en France n’est pas pris en considération, dès lors que cette société dispose d’un établissement dans un autre État membre de l’Union européenne.

Par ailleurs, même dans le cas où la loi française aurait trouvé à s’appliquer, on peut douter du fait que l’issue aurait été autre.  La CNIL a en effet mis en demeure au mois de juillet plusieurs sites de rencontre pour le caractère insuffisant de leurs règles de sécurité et la conservation des données personnelles des utilisateurs alors qu’elles auraient dû être supprimées[6], ce qui illustre que les pratiques des entreprises françaises ne sont pas meilleures.  Force est de constater que malgré les fortes incitations de la CNIL, peu d’acteurs de l’Internet ont déployé une véritable démarche de conformité permettant une prise en compte effective des règles de protection des données personnelles et ce alors que la pérennité de leur modèle économique repose fortement sur la confiance des utilisateurs.  La faiblesse du montant des sanctions pécuniaires pouvant être décidées par la CNIL (150.000 euros maximum) explique en partie cette situation. Mais il faut aussi y voir une certaine faiblesse du dispositif actuel qui n’impose pas de démarche formalisée pour arriver à la conformité.

Les solutions envisagées par le règlement européen pour assurer l’effectivité de la protection des données personnelles 

Cette affaire met en lumière les limites de la protection accordées aux citoyens européens par la législation européenne en matière de protection des données et la nécessité de renforcer et adapter les règles applicables, passant notamment par les critères de compétences et les sanctions.

Or, c’est précisément l’ambition du futur règlement européen en matière de protection des données qui devrait être adopté début 2016 pour une entrée en vigueur en 2018.

Le règlement met en avant une responsabilité accrue des entreprises qui devront être en mesure de démontrer la conformité du traitement aux dispositions du règlement, dont notamment le respect des principes de minimisation (qui peut signifier que seules des données pseudonymes devraient être collectées et traitées), de protection de la vie privée dès la conception (privacy by design) et de protection de la vie privée par défaut (privacy by default).  La démonstration de la bonne prise en compte de ces principes passera par la réalisation d’études d’impacts sur la vie privée (Privacy impact assessments) qui devront être présentées aux autorités de protection des données pour les traitements les plus sensibles –comme ceux comportant des données relatives aux pratiques sexuelles ou révélant d’autres aspects de l’intimité des personnes– et la tenue d’une documentation justifiant de l’ensemble des mesures prises en application de ces études d’impact, –dont notamment la résiliation d’audits réguliers.

Le règlement accorde également une place importante à l’obtention de labels et l’adoption de démarches de certification permettant de différencier les acteurs d’Internet selon leurs pratiques en matière de protection des données personnelles.     

Son champ d’application territorial est plus étendu que les règles actuelles puisqu’il s’appliquera aux acteurs de l’Internet non établis sur le territoire de l’Union européenne dès lors qu’ils dirigent leur offre de biens ou services vers des résidents de l’Union européenne ou suivent leur comportement[7].

De plus, le choix de l’instrument juridique –un règlement d’application directe– vise à empêcher les pratiques de forum shopping les mêmes règles étant applicables sur le territoire de l’Union européenne et les autorités de contrôle seront dotées des mêmes pouvoirs.

Enfin, des sanctions dissuasives sont prévues (pouvant aller jusqu’à 2% voire 5 %[8] du chiffre d’affaire mondial consolidé).

Il reste à espérer que ce nouveau cadre sera suffisant…En attendant, les utilisateurs de site de rencontre devraient s’attacher à suivre les recommandations –élémentaires– de la CNIL et à adopter une démarche alliant prudence et sécurité[9].

[1] V. l’article de M. Gros publié sur le site du Figaro le 19 août 2015 : « Piratage d’Ashley Madison : 260 000 contacts français touchés »

[2] R. Levinson « Privacy Commissioner investigates Ashley Madison data breach», article publié le 24/08/2015 sur le site du Star : http://www.thestar.com/business/2015/08/24/privacy-commissioner-investigates-ashley-madison-data-breach.print.html

[3] V. les explications publiées sur le site Developpez.com le 12 septembre 2015 par Stéphane Le Calme: « Des chercheurs ont trouvé des failles dans le système de protection de mots de passe d’Ashley Madison» : http://www.developpez.com/actu/89748/Des-chercheurs-ont-trouve-des-failles-dans-le-systeme-de-protection-de-mots-de-passe-d-Ashley-Madison-qui-fait-appel-a-la-fonction-de-hash-bcrypt/.

[4]  G. Duchaine, « Des clients d’Ashley Madison victimes de chantage », article publié sur le site LaPresse le 25 septembre 2015: http://www.lapresse.ca/actualites/justice-et-affaires-criminelles/faits-divers/201509/25/01-4903758-des-clients-dashley-madison-victimes-de-chantage.php

[5] C’est-à-dire le choix par l’entreprise de la loi qui lui sera appliquée.

[6] http://www.cnil.fr/linstitution/actualite/article/article/donnees-traitees-par-les-sites-de-rencontre-8-mises-en-demeure/

[7] Article 3 du projet de règlement.

[8] Ce pourcentage est en discussion.

[9] « Sites de rencontre en ligne : comment protéger votre intimité ? » Fiche de la CNIL mise en ligne le 28 juillet 2015 : http://www.cnil.fr/linstitution/actualite/article/article/sites-de-rencontre-en-ligne-comment-proteger-votre-intimite/