Affaire LinkedIn : sauve CNIL peut !

LinkedIn est sous le feu des projecteurs en raison de la divulgation publique d’un fichier comportant 6.5 millions de mots de passe de ses utilisateurs, vraisemblablement suite au piratage de son infrastructure. Le problème est grave car il résulte de deux importantes failles de sécurité : la première est une brèche ayant permis à des pirates informatiques de s’introduire au sein de leurs systèmes, sur laquelle nous n’avons aujourd’hui aucune information ; la seconde, déjà qualifiée d’impardonnable par des experts en sécurité, est une défaillance dans la mise au point de l’algorithme de sécurisation du stockage de ces mots de passe (qui auraient dû être salés avant d’être hachés – ceci n’étant qu’une demi-métaphore – pour les explications techniques voir l’article précédent – on discute largement de ces aspects dans notre formation cil).

Le préjudice causé aux utilisateurs est pour le moins critique, car cette faille de sécurité rend les mots de passe divulgués décryptables relativement aisément ; or, il est de notoriété commune que les Internautes utilisent pratiquement toujours les mêmes mots de passe pour accéder à des services en ligne : leur mot de passe LinkedIn est donc probablement le même que leur mot de passe de messagerie en ligne, et d’autres services sur Internet (services bancaires, commandes Amazon, etc.). Autant dire, du pain béni pour les pirates informatiques.

Alors que toute l’attention se porte aujourd’hui vers le réseau social, c’est en réalité vers d’autres acteurs que les enjeux vont progressivement se concentrer ; en particulier les  autorités nationales de protection des données personnelles car celles-ci jouent de plus en plus leur crédibilité dans leur relations avec les réseaux sociaux.

I – Pourquoi l’affaire Facebook a changé la donne

Pour le comprendre, au moins du point de vue franco-français, il faut remonter à l’origine de l’affaire Facebook et au camouflet qu’elle a infligé aux autorités nationales de protection des données personnelles. Pour rappel, c’est en 2011 qu’un étudiant autrichien en droit a analysé la légalité du fonctionnement du réseau social au regard de la législation en matière de données personnelles ; ce rapprochement a révélé littéralement des dizaines d’infractions à la réglementation actuelle, et une vive réaction de la Commission Européenne qui en a profité pour justifier l’ajout de sanctions tout à fait substantielles dans son projet de règlement européen.

Malgré un large éventail de moyens les CNILs ne se sont pas imposées contre Facebook

Si l’affaire a fait grand bruit dans la presse, c’est cependant plus pour la révélation des infractions à la réglementation sur les données personnelles, qu’au sujet de l’inaction totale des autorités nationales dans ce domaine, nonobstant le fait que Facebook traite les données de près d’un milliard de personnes, et existe depuis de nombreuses années (en France la CNIL a des relations avec l’entreprise depuis 2007 environ et a été incapable de leur imposer le respect de la loi).

Mais là où les pays européens payent plusieurs milliers d’agents (environ 2000 personnes travaillent au sein des CNILs européennes) afin d’assurer le respect de la loi et la protection des données personnelles de ses citoyens, il suffisait en réalité d’un étudiant pour faire imposer à Facebook de respecter les normes en matière d’informatique et de libertés ! Autant dire le malaise général ressenti au sein des autorités européennes de contrôle… Car finalement, à la lumière de cette affaire, on peut légitimement se demander ce qui justifie vraiment l’ensemble de ces salaires et les augmentations régulières de budgets, alors que ces autorités faillissent là où un simple étudiant fait plier seul le plus grand acteur du marché (qui plus est gratuitement…).

Face à cela, on ne s’étonnera donc guère de la discrétion avec laquelle l’affaire a été vraiment étouffée traitée.

Il n’en reste pas moins que l’affaire LinkedIn offre ainsi aux CNILs une seconde chance de se rattraper et de jouer le rôle qui leur est normalement dévolu en la matière.

II – La CNIL peut-elle s’imposer face à LinkedIn ?

Si tant est que les autorités nationales décident de se saisir de cette affaire, l’une des premières questions qui vont se poser est de déterminer dans quelle mesure elles pourront légalement prétendre pouvoir mener un quelconque contrôle.

En droit français, cette question est traitée par l’article 5 de la loi informatique et libertés qui distingue essentiellement deux cas :

  • soit le responsable du traitement est établi sur le territoire français (art. 5, I, 1°) ;
  • soit le responsable recourt à des moyens de traitement situés sur le territoire français, à l’exclusion des traitements qui ne sont utilisés qu’à des fins de transit (art. 5, I, 2°).

Une première étude devra donc définir la compétence à agir des autorités nationales. Si des éléments d’infrastructure de LinkedIn existent sur le territoire de l’UE, ou si un établissement y est présent, la question sera vite réglée.

A défaut, la loi pose dans ce cas une réelle question d’interprétation, en particulier dans l’application du 2° de l’article 5 (si le responsable recourt à « des moyens de traitement situés sur le territoire français »).

D’un point de vue purement technique, LinkedIn opère un traitement de données personnelles en France

Une observation purement technique de la réalité matérielle des choses plaide assez clairement pour une application de la loi française ; en effet, il suffit pour cela de constater que l’architecture client/serveur, utilisée au travers du protocole HTTP/HTTPS, implique nécessairement l’existence d’un client pour la mise en œuvre du traitement de données personnelles réalisé par LinkedIn. Ainsi, d’un point de vue technique, l’entreprise a recours à des moyens de traitement sur le sol français, dès lors que ses utilisateurs basés sur le sol français se connectent à la plateforme ; certes ces moyens ne sont pas la propriété du réseau LinkedIn, mais la loi est silencieuse sur ce point-là (elle ne se réfère pas à « ses moyens », ce qui impliquerait une relation de propriété, mais simplement à « des moyens »).

D’un point de vue plus juridique, cette interprétation de la loi est un peu ambitieuse, quoi que pas nécessairement injustifiée. En effet, la rédaction initialement large de l’article 5, I, 2° s’inspire évidemment d’une volonté de pouvoir absorber le plus globalement les traitements réalisés afin que ceux-ci soient soumis au régime protecteur de la loi française. C’est également dans cet ordre d’idée que s’interprète par exemple la notion juridique de « traitement » (article 2) :

« Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction« .

A contrario, il faut bien dire que les termes de « moyens de traitement » invitent plus naturellement à être interprétés techniquement sous forme d’infrastructure réseau et serveurs.

Conclusion

Reste donc à voir laquelle de ces deux interprétations la CNIL choisira pour rappeler, ou pas, au réseau social l’ensemble de ses obligations en matière de sécurité ; dans l’affirmative, LinkedIn devrait alors justifier d’avoir  pris _« toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». _L’obligation est tout à fait sérieuse et sanctionnée pénalement par 5 ans d’emprisonnement et 300.000 € d’amende, ce montant étant multiplié par cinq pour les personnes morales (donc ici 1,5 million d’euro d’amende). Autant dire, un tas de problèmes supplémentaires à gérer pour le réseau social.

En définitive, la question qui va rapidement se poser est de savoir si la CNIL, ou plus généralement les CNILs européennes auront le cran de s’imposer face aux vrais acteurs de l’Internet, ou s’il faudra encore attendre la bienveillance salvatrice d’un étudiant pour que les citoyens européens puissent finalement faire valoir leurs droits.

Sauve CNIL peut…

Téléchargez la formation conformité RGPD

Téléchargez gratuitement notre formation conformité RGPD et éliminez vos risques rapidement

Thiébaut Devergranne
Docteur en droit
Thiébaut Devergranne est expert en droit des nouvelles technologies depuis plus de 15 ans, dont 6 passés au sein des services du Premier Ministre. En savoir plus
Téléchargez la formation conformité RGPD (gratuit)
Téléchargez gratuitement notre mini formation conformité RGPD et réduisez vos risques rapidement, avec l'actualité de la conformité RGPD et nos offres de produits/service exclusives !
VOS CGV (gratuites)