Cyber sécurité : retour d’expérience sur la condamnation de META à 17 millions d’euros

La Data Protection Commission (DPC) qui est la CNIL « irlandaise » a sanctionné META d’une amende de 17 millions d’euros suite à une série de douze notifications de violation de données que la DPC a reçues au cours de la période de six mois entre le 7 juin 2018 et le 4 décembre 2018.

L'enquête menée par la DPC a examiné dans quelle mesure les plateformes de META (alors dénommées Facebook) se conformaient aux exigences des articles 5, 24 et 32 du RGPD en ce qui concerne le traitement des données personnelles pertinentes pour les douze notifications de violation.

À la suite de son enquête, le DPC a constaté que META n'avait pas mis en place les mesures techniques et organisationnelles appropriées qui lui auraient permis de démontrer aisément les mesures de sécurité qu'elle a mis en œuvre dans la pratique pour protéger les données des utilisateurs de l'UE.

Il convient à cet effet de rappeler les principes suivant visés par le RGPD

• Les données sont traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité);

• le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s'assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement et que les mesures visées comprennent la mise en œuvre de politiques appropriées en matière de protection des données par le responsable du traitement.

Rappelons que s’il n’existe pas un référentiel technique en tant que tel, le RGPD rappelle les règles de sécurité à respecter par tout responsable des traitements, et par conséquent tout sous-traitant de données.

• Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite.

• Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque.

Enfin, et outre ces mesures à mettre en œuvre, encore faut-il pouvoir en justifier notamment dans le cadre d’une notification de violation de données personnelles auprès de l’autorité compétente.

Mathieu MARTIN