Une faille de sécurité de grande ampleur compromettant potentiellement les données personnelles de 30 millions d’utilisateurs de Facebook a été rendue publique le vendredi 28 septembre par Facebook. Nulle forteresse n’est imprenable et les failles de sécurité peuvent concerner des entités de toute taille même les plus modestes comme l’équipe.fr

I. Le contexte

A) La chronologie des faits

L’affaire s’est déroulée de la manière suivante :

  • Le vendredi 14 septembre : Facebook remarque des pics inhabituels d’activité et initie une enquête ;

  • Le mardi 25 septembre : les équipes de Facebook ont identifié une attaque exploitant une faille de sécurité ;

  • Le jeudi 27 septembre (nuit) : la faille de sécurité est réparée ;

  • Le vendredi 28 septembre (avant 10h) : la Data protection commission irlandaise (« DPC ») est informée ;

  • Le vendredi 28 septembre (10h et 14h) : Facebook organise deux « press call» au cours desquels il informe le public de la faille de sécurité.

  • Le vendredi 12 octobre : Facebook a fourni des informations supplémentaires sur la faille de sécurité issues de son enquête en collaboration avec le FBI.

B) Les circonstances techniques de la faille

Il semble que les pirates ont exploité une vulnérabilité du code de Facebook liée au « Voir en tant que », une fonctionnalité permettant aux utilisateurs de voir à quoi ressemble leur profil pour les tiers. Cette fonction a permis aux pirates de voler des jetons d’accès Facebook (aussi appelés « tokens »), qu’ils pouvaient ensuite utiliser pour prendre le contrôle des comptes des utilisateurs. Les jetons d’accès sont l’équivalent de clés d’accès numériques permettant de rester connecté à Facebook sans avoir à rentrer à nouveau son mot de passe lors d’une connexion ultérieure, non seulement pour le réseau social mais aussi pour toutes les autres applications qui utilisent les identifiants Facebook pour se connecter.

Facebook a, dans son communiqué du 12 octobre, apporté plusieurs précisions : initialement, les pirates contrôlaient déjà un ensemble de comptes qui étaient liés à plusieurs amis Facebook. Ils ont volé les jetons d’accès des différentes listes d’amis, pour un total d’environ 400 000 personnes. Ces derniers ont utilisé une partie des listes d’amis de ces 400 000 personnes cumulé à la fonction « Voir en tant que » pour voler des jetons d’accès à environ 30 millions de personnes.

C) La réaction de Facebook

Dans le cadre de son plan d’action, Facebook a, tout d’abord, corrigé la vulnérabilité de la faille et a informé la DPC. Facebook a par la suite réinitialisé les jetons d’accès de près de 50 millions de comptes que le réseau social considérait comme affectés initialement avec 40 millions de comptes supplémentaires (par mesure de sécurité), entraînant la déconnexion forcée de tous ces comptes. En conséquence, environ 90 millions de personnes ont dû se reconnecter à Facebook, ou aux applications qui utilisent la connexion Facebook comme identifiant. Après s’être reconnectés, selon Facebook, les utilisateurs ont reçu une notification en haut de leur fil d’actualité leur expliquant la situation. Le réseau social a ensuite désactivé temporairement la fonction « Voir en tant que » pendant qu’il approfondissait l’enquête interne.

D) La réaction de la DPC irlandaise

La DPC a réagi, elle aussi, entre le 28 septembre et le 3 octobre. Elle a notamment indiqué que Facebook était incapable de clarifier la nature de la faille et ses risques pour les utilisateurs, avant de déclarer, qu’environ 10% des 50 millions de comptes affectés par la faille seraient européens. Le 3 octobre, la DPC a ouvert une enquête conformément à la section 110 du « Data Protection Act 2018 » qui lui octroie un pouvoir d’investigation en cas d’infraction présumée. De plus, elle a indiqué que Facebook poursuivait son enquête interne et qu’il continuerait de prendre des mesures correctives pour atténuer les risques potentiels envers les utilisateurs. Le 12 octobre, suite aux nouvelles informations dévoilées par le réseau social, la DPC a rappelé que son enquête se poursuivait.

E) Conséquences de la violation de données personnelles

Le 12 octobre, Facebook a dévoilé de nouvelles informations concernant les conséquences de la violation de données personnelles. L’accès de 30 millions de comptes utilisateurs a été dérobé comprenant environ 3 millions de comptes européens. On sait néanmoins que :

  • Pour 15 millions de personnes concernées, les pirates ont subtilisé leur nom, numéro de téléphone et/ou adresse e-mail.

  • Pour 14 millions de personnes concernées, la violation de données personnelles a été plus sérieuse. En effet, le nom d’utilisateur, le sexe, la localisation/langue, la situation relationnelle, la religion, la ville natale, la ville du domicile, la date de naissance, les types d’appareils utilisés pour accéder à Facebook, le parcours scolaire, l’emploi, les 10 derniers endroits visités, les personnes ou pages suivies et les 15 recherches les plus récentes ont été récupérés par les pirates.

  • Pour 1 million de personnes concernées, les pirates n’ont accédé à aucune information.

II. La notification de la violation de données personnelles à l’autorité de contrôle par Facebook

A) La détermination de l’autorité de contrôle compétente

Par principe, conformément à l’article 55 du Règlement général sur la protection des données (« RGPD ») « Chaque autorité de contrôle est compétente pour exercer les missions et les pouvoirs dont elle est investie conformément au présent règlement sur le territoire de l’État membre dont elle relève ».

Toutefois, dans la situation de Facebook, la situation est légèrement plus complexe dans la mesure où les traitements de données personnelles ne sont pas limités à un seul Etat membre.  En effet, on est dans le cadre de ce que le RGPD appelle : un traitement transfrontalier des données à caractère personnel puisque les traitements sont susceptibles d’affecter des personnes concernées dans plusieurs Etats membres.

Dans le cadre d’un traitement transfrontalier, le G29 indique qu’en cas de violation de données personnelles, le responsable du traitement devra informer l’autorité de contrôle chef de file. L’autorité chef de file, conformément à l’article 56 du RGPD est « l’autorité de contrôle de l’établissement principal ou de l’établissement unique du responsable du traitement ». Par conséquent, Facebook ayant son siège social en Irlande, l’autorité chef de file devant être notifiée de la violation de données personnelles est la DPC.

Dans le cadre de la notification à la DPC, Facebook a dû indiquer, le cas échéant, si la violation concerne des établissements situés dans d’autres États membres et dans quels Etats membres les personnes concernées sont susceptibles d’avoir été touchées.

B) La notification à l’autorité de contrôle

L’article 33 (1) du RGPD dispose que le responsable du traitement doit notifier la faille « si possible, 72 heures au plus tard après en avoir pris connaissance » et que celle-ci doit comporter plusieurs éléments.

1) La prise de connaissance de la violation par Facebook

Facebook a annoncé avoir des doutes le 14 septembre et a automatiquement procédé à une enquête interne pour repérer la source des pics d’activité qui a duré jusqu’au 25 septembre. Ce n’est ainsi que le 25 septembre que Facebook était certain qu’une violation de données personnelles avait eu lieu.

Il est intéressant de s’interroger sur le moment précis où un responsable du traitement peut être considéré comme ayant pris connaissance d’une violation de données personnelles. Le G29 indique dans ses lignes directrices, qu’un responsable du traitement sera considéré comme ayant pris connaissance de la violation dès lors qu’il a des doutes raisonnables et certains qu’un incident de sécurité s’est produit entraînant des risques pour les données personnelles. Cependant, dans certains cas, la situation sera particulièrement explicite quant à l’existence d’une violation de données personnes alors que dans d’autres cas, le responsable du traitement peut mettre du temps avant de déterminer si des données personnelles ont été compromises.

Par conséquent, on peut s’interroger sur le moment où Facebook peut être considéré comme ayant pris connaissance de la violation de données personnelles : le 14 ou le 25 septembre ? Selon leurs informations ce ne serait que le 25 septembre qu’ils auraient eu des certitudes quant à l’existence de la violation de données personnelles, on peut donc considérer que Facebook a pris connaissance de la violation des données le 25 septembre faisant alors courir le délai de 72h.

2) Le respect du délai de 72h et la notification à l’autorité de contrôle

Selon la DPC, Facebook lui a notifié l’existence de la violation de données personnelles le 28 septembre, soit 72 heures après le 25 septembre. Facebook semble donc avoir respecté le délai de notification prévu par le RGPD. Cependant, Facebook a été dans l’incapacité de préciser dans le cadre de sa notification : la nature de la violation de données à caractère personnel et les conséquences probables de la violation de données.

En effet, la notification à l’autorité de contrôle (article 33 (3) du RGPD) doit comprendre :

  • la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;

  • le nom et les coordonnées du délégué à la protection des données (DPO) ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;

  • les conséquences probables de la violation de données à caractère personnel ;

  • les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

Dès lors, la notification par Facebook est certes conforme quant au délai mais semble néanmoins ne pas être complète. La DPC indiquait d’ailleurs, le 1er octobre, qu’elle était toujours en « attente urgente des détails » concernant les personnes concernées européennes qui ont été affectées afin qu’elle puisse évaluer correctement la nature de la violation et les risques pour les utilisateurs.

3) L’exception : la notification échelonnée

Le RGPD prévoit une exception concernant la notification de la violation de données personnelles. En effet,  l’article 33 (4) du RGPD permet une notification échelonnée en établissant que « si, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu ». Cette notification échelonnée est permise sous la condition impérative que le responsable du traitement transmette les raisons du retard de cette transmission.

Cette exception est la bienvenue puisque les responsables du traitement ne disposent pas toujours, dans les 72 heures suivant leur constatation, de toutes les informations nécessaires concernant une violation.

Si le responsable du traitement veut se prévaloir de cette exception, il devra indiquer à l’autorité de contrôle lors de la première notification qu’il ne dispose pas encore de toutes les informations requises et communiquera alors plus de détails ultérieurement.

En l’espèce, cette exception pourrait venir justifier la non-transmission par Facebook de l’ensemble des informations exigées par l’article 33 du RGPD à la DPC. La DPC n’a néanmoins pas communiqué sur l’utilisation de cette exception.

III. La notification aux personnes concernées par Facebook

En présence d’une violation de données à caractère personnel susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement est tenu de signaler cette violation aux personnes concernées, conformément à l’article 34 (1) du RGPD.

A) Le contenu de la notification

Conformément à l’article 34 (1) du RGPD, les personnes concernées doivent être notifiées dans les meilleurs délais de la violation de données personnelles. Cette notification a pour objectif d’informer les personnes concernant les mesures à prendre pour se protéger des conséquences négatives de la violation.

Comme pour la notification faite à l’autorité de contrôle, la notification aux personnes concernées doit comprendre certains éléments (article 34 (2) du RGPD) :

  • une description de la nature de la violation ;

  • le nom et les coordonnées du DPO ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;

  • une description des conséquences probables de la violation ;

  • une description des mesures prises ou envisagées par le responsable du traitement pour remédier à la violation, y compris, le cas échéant, des mesures visant à atténuer ses éventuels conséquences négatives.

En l’espèce, la notification de Facebook aux personnes concernées s’est faite en deux phases : Une le 28 septembre pour les utilisateurs dont le compte a été déconnecté de force et une autre, dans les jours qui ont suivi l’annonce du 12 octobre, pour les personnes concernées qui ont effectivement été victime de la violation.

La première notification ne semble être qu’une information de convenance sur la violation de données à caractère personnel envers les personnes que Facebook pensait concernées à l’époque.

Ci-dessous, les messages reçus par les 90 millions d’utilisateurs déconnectés de force :

Les notifications du 12 octobre, elles, semblent plus complètes en raison des précisions liées à l‘enquête interne du réseau social. En ce sens, Facebook a décidé de notifier 3 types de messages différents aux 30 millions de personnes concernées dont les données ont effectivement été violées.

Ci-dessous, les messages personnalisés que les personnes concernées ont reçus en fonction de la façon dont elles ont été touchées par la violation :

 

Concrètement, si on analyse les captures des notifications envoyées par Facebook, elles ne semblent pas inclure la totalité des informations requises par l’article 34 (2) du RGPD. Néanmoins ces informations pourraient être contenues dans le « Lear more » présent sur la notification. Une certaine prudence est donc à adopter sur cette question.

B) Le mode de communication de la notification

La notification aux personnes concernées doit être communiquée directement aux personnes concernées via l’envoi de messages dédiés. Le G29 indique ainsi que la notification ne doit pas être envoyée avec d’autres informations, telles que des mises à jour régulières, des bulletins d’information ou des messages standards.

Par chacune de ses notifications, Facebook a choisi de communiquer la violation de données via un bandeau en haut du fil d’actualité. Cette notification pourrait être considérée comme non effective dans la mesure où le fil d’actualité est plus proche du bulletin d‘information que du message dédié que recommande le G29 dans ses lignes directrices. Une notification par e-mail ou message privé aurait été recommandée. Toutefois, cette communication est à relativiser car le G29 précise lui-même que le responsable du traitement est le mieux placé pour choisir le mode de communication adéquat avec les personnes concernées, d’autant plus quand il interagit avec elles de manière régulière. En ce sens, en ayant choisi le fil d‘actualité, Facebook semble avoir fait un choix plutôt efficace pour toucher l’ensemble des personnes concernées.

Concernant l’absence de nouvelle notification pour les 60 millions de personnes concernées qui ont vu leur compte déconnecté de force, Facebook pourrait invoquer l’absence de risque matériel dans la mesure où, finalement, l’enquête a révélé qu’ils n’avaient pas été touchés par la violation conformément à l’article 34 (3) du RGPD. Ce dernier dresse une liste d’exceptions, dont l’absence de risque matériel, permettant au responsable du traitement de ne pas notifier les personnes concernées.

Il conviendra à l’autorité de contrôle de vérifier si cette exception est applicable. L’autorité de contrôle estimera si la décision de ne pas notifier aux personnes concernées était fondée. Le cas échéant, elle pourra envisager de recourir à ses pouvoirs de sanctions pouvant entraîner une amende de 10 millions d’euros ou d’un montant pouvant aller jusqu’à 2% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu conformément à l’article 83 (4) du RGPD.

Cependant, il convient d’attendre l’issue de l’enquête de la DPC pour appréhender la situation avec justesse. Il faut donc rester prudent sur le diagnostic actuel.

En conclusion, Facebook semble s’être conformé aux dispositions du RGPD quant à la notification à l’autorité de contrôle chef de file qu’est la DPC irlandaise, si cette dernière considère cette notification comme répondant aux critères de la notification échelonnée. En revanche pour ce qui est de sa notification avec les personnes concernées dans cette affaire, des questions se posent.

En raison des nouvelles obligations du RGPD, le public est désormais informé du nombre de violations des données personnelles et prend conscience de l’ampleur de celles-ci. Depuis l’entrée en vigueur du RGPD, la CNIL a reçu 742 notifications de violations de données personnelles. Parmi celles-ci, l’équipe.fr qui a été victime récemment d’une faille qui a touché ses abonnés et dont la violation des données personnelles aurait été notifiée à la CNIL dans le délai requis. A titre de comparaison, avec Facebook, l’equipe.fr a choisi d’envoyer un mail à chaque abonné, les alertant sur la faille qui a eu lieu et leurs précisant, notamment, l’étendue des données compromise, les mesures à prendre pour sécuriser leur compte et les points de vigilances à adopter.