POLITIQUE & INSTITUTIONS — Institutions

Les données de 188.000 comptes dans la nature

Pourquoi Facebook ne risque (presque) rien avec le leak



Les données dont Facebook a perdu le contrôle datent d’avant l’entrée en vigueur du règlement européen sur la protection des données, dit la CNPD dans sa communication. (Photo: Shutterstock)

Les données dont Facebook a perdu le contrôle datent d’avant l’entrée en vigueur du règlement européen sur la protection des données, dit la CNPD dans sa communication. (Photo: Shutterstock)

Dans un communiqué, ce jeudi, la Commission nationale pour la protection des données invite les utilisateurs à la prudence et confirme que la coordination de l’enquête est confiée à son homologue irlandaise, où Facebook a son siège européen. La date va jouer un rôle-clé, dit la CNPD sans le dire.

L’urgence est mauvaise conseillère. Aussi la Commission nationale pour la protection des données, elle-même soumise à la prudence en matière de communication, a-t-elle pris le temps de se concerter avec les autres régulateurs européens pour se positionner sur la perte de contrôle des données de 530 millions d’utilisateurs de Facebook, dont 188.000 au Luxembourg.

Dans son communiqué, ce jeudi, la CNPD indique que ce leak «a eu lieu de juin 2017 à avril 2018», avant que Facebook ne corrige la faille utilisée pour exfiltrer les données, et que c’est bien son homologue irlandaise qui est en charge de mener l’enquête et, éventuellement, de prendre de premières mesures contre le réseau social.

En limitant le problème à avril 2018, cela le place avant l’entrée en vigueur du règlement européen sur la protection des données, et donc Facebook serait totalement à l’abri d’éventuelles poursuites. 

Sauf que d’après les données que nous avons pu consulter, environ un millier de logs luxembourgeois sont postérieurs à cette date et vont au maximum jusqu’à fin août 2018. Sollicitée sur ce point par Paperjam, la CNPD répète qu’elle s’en remet aux informations du régulateur irlandais et que l’enquête est encore en cours. Soit la date retenue pour la fin du problème de Facebook n’est pas bonne, soit les jeux de données qui circulent ont été manipulés par des hackers, tout est possible.

Les recommandations utiles de la CNPD

Du coup, autant savoir deux choses: quoi faire quand on est utilisateur (touché ou pas) et quelle est la procédure pour se protéger de problèmes ultérieurs.

Pour la première, la CNPD rappelle un certain nombre de principes utiles:

- partez du principe qu’il est plus probable que votre compte soit concerné que l’inverse;

- vérifiez dans la mesure du possible quelles informations éventuellement sensibles ou intimement liées à votre personne sont publiquement accessibles ou l’étaient en 2018;

- soyez particulièrement attentif aux potentielles attaques de phishing, où un acteur fait référence à ces informations pour vous en demander d’autres, en particulier des mots de passe, numéros de téléphone mobile et adresses e-mail;

- ne suivez pas de lien externe pour vous connecter à votre compte Facebook – naviguez vous-même vers le site pour vous connecter;

- n’hésitez pas à contacter directement le service de Facebook dès que vous avez un soupçon à propos d’activités douteuses sur votre compte;

- de manière générale, n’utilisez pas un mot de passe pour votre compte Facebook que vous utilisez pour d’autres services, et en particulier pour votre boîte mail.

La CNPD renvoie aussi à sa brochure sur les droits des particuliers, qui donne 10 autres très bons conseils.  

La brochure rappelle aussi la procédure à suivre pour se plaindre, ce qui est toujours utile en cas de souci ultérieur: 

1. Faire d’abord une réclamation auprès de Facebook, dans ce cas. Il existe trois manières de s’adresser au géant américain: soit par courrier en recommandé à l’adresse Facebook Ireland Ltd, Hanover Reach, 5-7 Hanover Quay 2, Dublin, Irlande; soit en suivant la procédure automatisée en ligne ; soit en contactant le Data Protection Officer de Facebook .

2. Faute de réponse satisfaisante de la part de Facebook, s’adresser à la CNPD, qui dit elle-même préférer son système automatisé .

3. Et si la CNPD ne donne pas une réponse satisfaisante, il est possible de saisir la justice luxembourgeoise.

Contrairement à une idée répandue, si la CNPD ne communique pas ou peu sur les cas précis, elle prend des mesures contre ceux qui ne respectent par les règles européennes. Dans son dernier rapport annuel disponible, celui de 2019, elle indiquait 625 réclamations (381 directes et 244 en tant que chef de file parce que la société visée a son quartier européen au Luxembourg) et 354 violations de données.

À fin décembre 2019, 140 réclamations directes et 161 «internationales» ont été suivies de mesures correctrices des sociétés visées. Aucune amende administrative n’a été demandée.