Yahoo! condamnée à payer une amende de 35 millions de dollars pour dissimulation de violation de données… A quand un RGPD aux Etats-Unis ?
35 millions de dollars d’amendes, un vol de données lié à des centaines de millions de comptes
En Europe, l’entrée en vigueur le 25 mai 2018 du Règlement Général de Protection des Données européen devrait appeler une plus grande vigilance de la part des sociétés. Si certaines TPE-PME peuvent trouver les obligations relatives au Règlement Européen de Protection des Données fort contraignantes, cette démarche fait sens lorsqu’on remarque les dérives que peuvent occasionner la violation de données détenues par certaines sociétés d’une quantité incommensurable de données.
C’est le cas de Altaba (ex Yahoo!), société aux 800 millions d’utilisateurs actifs, qui a caché jusqu’en 2016 un piratage massif de données personnelles d’utilisateurs. Altaba vient d’accepter de payer une amende de 35 millions de dollars, soit 28,5 millions d’euros, suite aux accusations selon lesquelles sa dissimulation aurait trompé les investisseurs.
Il s’agit d’un des plus gros piratages opérés jusqu’à ce jour, avec un vol de données personnelles liées à “des centaines de millions de comptes”, d’après un communiqué de la Securities and Exchange Commission (SEC).
Un vol de données opéré par des Hackers russes
Selon la SEC, Yahoo! a eu connaissance quelques jours après les faits, en 2014, que des hackers russes avaient volé des informations telles que les noms, adresses mail, numéros de téléphone, dates de naissance, mots de passe, etc.
Pour autant, le groupe “n’a pas réalisé d’enquêtes conséquentes quant aux circonstances de cette violation de données et ne l’a pas révélé au grand public !
RGPD et les obligations en termes de violations des données : à quand une plus grande régulation aux Etats-Unis?
Qu’en est-il, en France, des obligations en cas de violations de données ?
Le RGPD prévoit que le responsable du traitement doit notifier toute violation de données à caractère personnel à l’autorité de contrôle compétente dans les meilleurs délais, et si possible, 72 heures au plus tard après en avoir pris connaissance. Quand ce délai n’est pas respecté, il convient de l’informer des motifs du retard. En France, l’autorité de contrôle compétente est la Cnil.
Quand responsable du traitement constate une violation des données à caractère personnel qu’il traite, il est dans l’obligation d’informer l’autorité de contrôle de plusieurs éléments tels que, par exemple, les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.