Affaire LinkedIn : sauve CNIL peut !

• Thiébaut Devergranne

LinkedIn est sous le feu des projecteurs en raison de la divulgation publique d’un fichier comportant 6.5 millions de mots de passe de ses utilisateurs, vraisemblablement suite au piratage de son infrastructure. Le problème est grave car il résulte de deux importantes failles de sécurité : la première est une brèche ayant permis à des pirates informatiques de s’introduire au sein de leurs systèmes, sur laquelle nous n’avons aujourd’hui aucune information ; la seconde, déjà qualifiée d’impardonnable par des experts en sécurité, est une défaillance dans la mise au point de l’algorithme de sécurisation du stockage de ces mots de passe (qui auraient dû être salés avant d’être hachés – ceci n’étant qu’une demi-métaphore – pour les explications techniques voir l’article précédent – on discute largement de ces aspects dans notre formation cil).

Le préjudice causé aux utilisateurs est pour le moins critique, car cette faille de sécurité rend les mots de passe divulgués décryptables relativement aisément ; or, il est de notoriété commune que les Internautes utilisent pratiquement toujours les mêmes mots de passe pour accéder à des services en ligne : leur mot de passe LinkedIn est donc probablement le même que leur mot de passe de messagerie en ligne, et d’autres services sur Internet (services bancaires, commandes Amazon, etc.). Autant dire, du pain béni pour les pirates informatiques.

Alors que toute l’attention se porte aujourd’hui vers le réseau social, c’est en réalité vers d’autres acteurs que les enjeux vont progressivement se concentrer ; en particulier les  autorités nationales de protection des données personnelles car celles-ci jouent de plus en plus leur crédibilité dans leur relations avec les réseaux sociaux.

I – Pourquoi l’affaire Facebook a changé la donne

Pour le comprendre, au moins du point de vue franco-français, il faut remonter à l’origine de l’affaire Facebook et au camouflet qu’elle a infligé aux autorités nationales de protection des données personnelles. Pour rappel, c’est en 2011 qu’un étudiant autrichien en droit a analysé la légalité du fonctionnement du réseau social au regard de la législation en matière de données personnelles ; ce rapprochement a révélé littéralement des dizaines d’infractions à la réglementation actuelle, et une vive réaction de la Commission Européenne qui en a profité pour justifier l’ajout de sanctions tout à fait substantielles dans son projet de règlement européen.

Malgré un large éventail de moyens les CNILs ne se sont pas imposées contre Facebook

Si l’affaire a fait grand bruit dans la presse, c’est cependant plus pour la révélation des infractions à la réglementation sur les données personnelles, qu’au sujet de l’inaction totale des autorités nationales dans ce domaine, nonobstant le fait que Facebook traite les données de près d’un milliard de personnes, et existe depuis de nombreuses années (en France la CNIL a des relations avec l’entreprise depuis 2007 environ et a été incapable de leur imposer le respect de la loi).

Mais là où les pays européens payent plusieurs milliers d’agents (environ 2000 personnes travaillent au sein des CNILs européennes) afin d’assurer le respect de la loi et la protection des données personnelles de ses citoyens, il suffisait en réalité d’un étudiant pour faire imposer à Facebook de respecter les normes en matière d’informatique et de libertés ! Autant dire le malaise général ressenti au sein des autorités européennes de contrôle… Car finalement, à la lumière de cette affaire, on peut légitimement se demander ce qui justifie vraiment l’ensemble de ces salaires et les augmentations régulières de budgets, alors que ces autorités faillissent là où un simple étudiant fait plier seul le plus grand acteur du marché (qui plus est gratuitement…).

Face à cela, on ne s’étonnera donc guère de la discrétion avec laquelle l’affaire a été vraiment étouffée traitée.

Il n’en reste pas moins que l’affaire LinkedIn offre ainsi aux CNILs une seconde chance de se rattraper et de jouer le rôle qui leur est normalement dévolu en la matière.

II – La CNIL peut-elle s’imposer face à LinkedIn ?

Si tant est que les autorités nationales décident de se saisir de cette affaire, l’une des premières questions qui vont se poser est de déterminer dans quelle mesure elles pourront légalement prétendre pouvoir mener un quelconque contrôle.

En droit français, cette question est traitée par l’article 5 de la loi informatique et libertés qui distingue essentiellement deux cas :

  • soit le responsable du traitement est établi sur le territoire français (art. 5, I, 1°) ;
  • soit le responsable recourt à des moyens de traitement situés sur le territoire français, à l’exclusion des traitements qui ne sont utilisés qu’à des fins de transit (art. 5, I, 2°).

Une première étude devra donc définir la compétence à agir des autorités nationales. Si des éléments d’infrastructure de LinkedIn existent sur le territoire de l’UE, ou si un établissement y est présent, la question sera vite réglée.

A défaut, la loi pose dans ce cas une réelle question d’interprétation, en particulier dans l’application du 2° de l’article 5 (si le responsable recourt à « des moyens de traitement situés sur le territoire français »).

D’un point de vue purement technique, LinkedIn opère un traitement de données personnelles en France

Une observation purement technique de la réalité matérielle des choses plaide assez clairement pour une application de la loi française ; en effet, il suffit pour cela de constater que l’architecture client/serveur, utilisée au travers du protocole HTTP/HTTPS, implique nécessairement l’existence d’un client pour la mise en œuvre du traitement de données personnelles réalisé par LinkedIn. Ainsi, d’un point de vue technique, l’entreprise a recours à des moyens de traitement sur le sol français, dès lors que ses utilisateurs basés sur le sol français se connectent à la plateforme ; certes ces moyens ne sont pas la propriété du réseau LinkedIn, mais la loi est silencieuse sur ce point-là (elle ne se réfère pas à « ses moyens », ce qui impliquerait une relation de propriété, mais simplement à « des moyens »).

D’un point de vue plus juridique, cette interprétation de la loi est un peu ambitieuse, quoi que pas nécessairement injustifiée. En effet, la rédaction initialement large de l’article 5, I, 2° s’inspire évidemment d’une volonté de pouvoir absorber le plus globalement les traitements réalisés afin que ceux-ci soient soumis au régime protecteur de la loi française. C’est également dans cet ordre d’idée que s’interprète par exemple la notion juridique de « traitement » (article 2) :

« Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction« .

A contrario, il faut bien dire que les termes de « moyens de traitement » invitent plus naturellement à être interprétés techniquement sous forme d’infrastructure réseau et serveurs.

Conclusion

Reste donc à voir laquelle de ces deux interprétations la CNIL choisira pour rappeler, ou pas, au réseau social l’ensemble de ses obligations en matière de sécurité ; dans l’affirmative, LinkedIn devrait alors justifier d’avoir  pris _« toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». _L’obligation est tout à fait sérieuse et sanctionnée pénalement par 5 ans d’emprisonnement et 300.000 € d’amende, ce montant étant multiplié par cinq pour les personnes morales (donc ici 1,5 million d’euro d’amende). Autant dire, un tas de problèmes supplémentaires à gérer pour le réseau social.

En définitive, la question qui va rapidement se poser est de savoir si la CNIL, ou plus généralement les CNILs européennes auront le cran de s’imposer face aux vrais acteurs de l’Internet, ou s’il faudra encore attendre la bienveillance salvatrice d’un étudiant pour que les citoyens européens puissent finalement faire valoir leurs droits.

Sauve CNIL peut…


Commentaires...

Moehau

Bien que l'affaire soit consternante, le dernier jeu de mot ("Sauve CNIL peut…") à au moins le mérite de nous laisser à la fin de l'article avec le sourire :)

Thiébaut Devergranne

Merci ! En fait initialement le titre était "Affaire LinkedIn ça risque de chauffer pour la CNIL", mais je me suis ravisé dimanche pour "Sauve CNIL peut", qui m'a aussi beaucoup fait sourire ;-)

Mathieu

J'ai une question : si vous deviez justifier cette approche timide sur le plan pénal des Cnil européennes (notamment face à Facebook), quels seraient vos arguments ?

A première vue je pense aux moyens financiers des acteurs incrimminés, qui permettent de faire traîner longtemps une procédure (Cnil, Conseil d'Etat, QPC, CEDH/CJUE) sur laquelle l'autorité engagerai trop de temps et de moyens pour un résultat insuffisant (la sanction tombe trop tard, l'acte incrimminé est oublié et les problématiques ont changé depuis).

Voyez-vous d'autres raisons ?

Thiébaut Devergranne

Votre question est intéressante ; il est difficile de vous répondre par une générlité. Par exemple la CNIL espagnole a une politique de sanctions qui est nettement plus sévère que la France. Et du côté français, cette timidité s'explique par des facteurs structurels (son indépendance très relative en réalité...). Mais je suis curieux, quel est votre sentiment sur le sujet ?

Mathieu

Je pense que la Cnil, par un bilan coûts/avantages, écarte partiellement mais volontairement la dimension pénale pour atteindre ses objectifs autrement.

Si je devais être son avocat : le nombre d'acteurs responsables de traitement de données augmente considérablement et ces traitements s'inscrivent dans une dynamique de mutations incessantes. Si des nouvelles formes de traitement apparaissent régulièrement la sanction X intervenue a posteriori pour condamner une forme particulière de traitement permettra certes de faire justice, mais mobilisera beaucoup de moyens pour un caractère dissuasif (envers les autres responsables) très limité.

A contrario le communiqué de presse intervient très rapidement, permet surtout de maîtriser la portée du message : on s'adresse implicitement à un groupe d'acteurs (cf. la cloture de mise en demeure de OCEATECH, "je constate que vous avez déplacé vos caméras de telle sorte..., que vous avez pris telles mesures..., que vous vous êtes engagé à ne pas... je vous invite à désigner un Cil afin de...", on donne à tous les clefs pour se conformer) mais également au médias/citoyen/consommateur.

Il n'est pas certain que ce dernier fera véritablement jouer la concurrence entre plusieurs services sur la question du traitement des données mais la régulation en la matière doit s'adapter à un nouvel équilibre : le comportement de l'utilisateur vient peser autant sinon plus que celui de l'entreprise. En ce sens la souplesse/réactivité du communiqué semblent être davantage adaptées.

Mais vous mentionnez des facteurs structurels de timidité, pensiez-vous à un travail de recherche ou à votre expérience ? Savez-vous également si il existe une étude de droit/pratique comparé sur le sujet ? ça m'intéresse !

Thiébaut Devergranne

Merci pour votre commentaire !

Que la CNIL travaille régulièrement autrement qu'au travers de la dimension pénale de la loi informatique et libertés, là c'est très bien, personne ne conteste cette position.

Mais a contrario, laisser passer autant d'infractions pénales n'est pas sain non plus, parce qu'à terme le message envoyé est : peu importe ce que vous faites, en pratique il n'y a aucune sanctions.

Ce qu'il faut c'est trouver un équilibre entre ces deux bords.

Mathieu

Oui, je suis d'accord. J'ai déjà eu ce sentiment de "déséquilibre" quand, après avoir énumérée une liste souvent impressionnante de violations (suivie de l'habituel "a délibérément ignoré les courriers de la Commission"...), la Cnil décide une mise en demeure quand on aurai trouvé urgent de condamner et punir.

Quand la Présidente de la Commission affirme vouloir travailler "main dans la main" avec les acteurs et ne voit la sanction que comme un dernier recours, on comprend que la première crainte est celle de détériorer le dialogue, de n'être plus écoutée sur les autres leviers de régulation. Mais parfois je me dit que ce "monde des acteurs" doit être bien susceptible !


Les commentaires sont fermés
Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit. Il travaille en droit des nouvelles technologies depuis plus de 15 ans, dont 6 passés au sein des services du Premier Ministre. En savoir plus.

formation RGPD

VOS CGV (gratuit)