Fuite de données : Facebook n’entend pas prévenir ses utilisateurs
Affecté par une fuite de données record, Facebook n’entend pas simplifier la tâche des autorités de protection des données. Le réseau social a publié hier un communiqué faisant le point sur le fichier concernant 533 millions de comptes, diffusé depuis le début du mois sur un forum. Celui-ci contient des données appartenant à des utilisateurs du réseau social, comprenant notamment leurs nom, prénom et numéro de téléphone, ainsi que des informations complémentaires.
Service minimum
Ce type de fuite de données est encadré en Europe par le RGPD, dès lors que des citoyens européens sont concernés par l’incident. Et avec environ 20 millions de citoyens français dans le fichier fuité, difficile de faire comme si cela n’était pas le cas. Pourtant, la réaction de Facebook face à cette fuite suscite des questions : le réseau social a ainsi fait savoir auprès de Reuters qu’il n’avait pas prévenu les utilisateurs affectés par la fuite de données et qu’il ne comptait pas le faire à l’avenir. De plus, Facebook n’a pas signalé la fuite de données auprès de l’autorité irlandaise de protection des données, et c’est bien l’autorité qui est venue questionner Facebook sur ce sujet, comme elle l’indiquait dans un communiqué lundi.
Dans son communiqué publié hier, Facebook explique que ces données ne sont pas issues d’un piratage de son réseau, mais ont été récupérées via une technique dite de “scraping”. Ce terme désigne ici le fait de programmer des outils de récupération automatisée de données accessibles librement sur le web. Dans le cas de Facebook, les données récupérées proviennent bien des pages publiques des comptes utilisateurs. Seul le numéro de téléphone n’est pas une information publique, mais Facebook explique avoir identifié en 2019 une faille dans son système, qui permettait de récupérer les numéros de téléphone associés à un compte. Faille que le réseau social a corrigée en 2019. Facebook ne donne pas plus de détails sur les suites qu’il entend donner à l’affaire, se contentant d’inviter les utilisateurs affectés à la prudence.
Un risque à évaluer
L’autorité de protection des données irlandaise, la DPC, est chargée de mener les investigations au sujet de cette faille, le siège social de Facebook étant basé en Irlande. La CNIL a indiqué s’être également emparée du dossier et travailler avec elle pour vérifier « les circonstances de la violation » et « les mesures prises par Facebook, notamment l’éventuelle communication directe aux personnes concernées par la fuite ».
La question de la communication aux utilisateurs est délicate : le RGPD prévoit en effet qu’en cas de « risque élevé » pour les utilisateurs, les entreprises doivent notifier les fuites de données aux personnes concernées. Dans le doute sur le niveau du risque que représente la fuite de données, c’est aux autorités de données de juger si oui ou non l’entreprise doit prévenir les utilisateurs affectés. De la même manière, le RGPD prévoit que l’entreprise affectée notifie l’autorité de protection des données de la fuite, ici l’autorité irlandaise. Mais comme l’explique la DPC dans son communiqué de lundi, Facebook estime que ces données sont issues d’une opération de scraping ayant eu lieu « entre juin 2017 et avril 2018 », et donc avant l’entrée en vigueur du RGPD. Et donc que le réseau social n’était pas tenu de notifier cette fuite de données aux autorités.
Des victimes dans le flou
Facebook se refuse donc à tout excès de zèle. Le réseau social n’a pourtant pas bonne presse en matière de protection des données et fait face à de nombreuses critiques, en Europe et outre-Atlantique, sur des fuites de données appartenant à ses utilisateurs. Mais plus que de tenter de sauver une image déjà bien écornée, le réseau social préfère apparemment éviter de créer un précédent qui pourrait lui causer du tort à l’avenir.
Les autorités de protection des données devront trancher, mais l’affaire met en lumière un sujet que l’on risque de revoir sur ce type d’affaire : la difficulté de prévenir les victimes de ces fuites de données. Des services en ligne permettent de vérifier si un compte apparaît dans le fichier dérobé, mais la CNIL déconseille leur utilisation. Si les autorités de protection des données jugent, comme semble le penser Facebook, que le risque de cette fuite de données n’est pas suffisamment élevé pour imposer au réseau social d’alerter les utilisateurs affectés, qui le fera ? Au vu du nombre d’utilisateurs affectés, la CNIL recommande à tous les utilisateurs qui disposaient d’un compte Facebook entre 2016 et 2019 de se considérer comme concernés par cette fuite de données, « sans chercher à vérifier si c’est effectivement le cas ».
