Il s’agit ici d’une première en Allemagne, la semaine dernière, plus précisément le 21 novembre, les autorités allemandes pour la protection des données de l’état de Baden-Württemberg «LFDI»[1]ont octroyé à l’entreprise Knuddels une amende de 22,700 USD pour ne pas avoir respecté des obligations mises de l’avant par le Règlement général sur la protection des données de l’Union européenne «RGPD».
Le 20 juin dernier, le réseau social Allemand Knuddels a été victime d’une importante attaque sur sa plateforme, car ses systèmes de protection et d’encryptions étaient non-adéquats. Les responsables ont donc eu un accès non autorisé aux données personnelles d’utilisateurs du site, avant de les divulguer sur internet. Il est ici question de mots de passe et d’adresses email de plus de 330 000 utilisateurs vérifiés du site. Il est ici important de dire que certains membres de l’équipe de Knuddels estiment qu’incluant les 330 000 utilisateurs vérifiés, plus de 800 000 adresses email et 1,8 millions de mots de passe auraient été volés. Cependant, ces chiffres, outre les 330 000 utilisateurs, n’ont pas été confirmés.
Ce qui est intéressant ici, et à première vue difficile à comprendre, est la corrélation entre la grosseur de la brèche et la grosseur de la somme reçue comme amende. En effet, après avoir pris connaissance des sanctions possibles présentées par l’article 83 du RGPD,il aurait été normal, selon moi, de s’attendre à une somme plus imposante. C’est donc pourquoi il est intéressant de s’attarder davantage aux actions de l’entreprise allemande et aux critères utilisés par les autorités allemandes pour arriver à cette somme. C’est pourquoi il faut s’attarder davantage au processus de divulgation de la brèche tout comme la faute précise de l’entreprise.
La LFDI nous a informé que dès que la brèche fut connue, les administrateurs de Knuddels, ont respecté à la lettre les obligations des articles 34et 33du RGPD, voulant d’abord que la brèche et le vol de données personnelles soient immédiatement divulgués aux utilisateurs et qu’ils soient aussi divulgués aux autorités compétentes dans les meilleurs délais. Selon la déclaration de la LFDI sur le sujet, l’entreprise allemande a répondu aux obligations de l’article 33(3) RGDP, soit d’expliquer aux autorités la brèche, les précautions prises, le système de traitement des données qui était en place au moment de la brèche, mais aussi l’échec de sécurité d’une façon «impeccable». Cependant, c’est aussi lors de cette rencontre entre Knuddels et la LFDI que les autorités ont réalisé que les méthodes de protection des données de l’entreprise n’étaient pas adéquates, car ils ne respectaient pas l’article 32(1) RGDP. Celui-ci demande des méthodes de pseudonymisation et de chiffrement des données personnelles.
Il est donc clair, selon les faits, que c’est en suivant les processus des articles 33 et 34 du RGPD que le manquement à l’article 32 a été découvert. Il ne faut pas oublier de mentionner que l’article 32 du RGPDouvre la porte aux sanctions de l’article 83(4)RGPD, qui est de 10M d’euros ou de 2% du revenu annuel de l’entreprise. Il convient alors à se poser une importante question : à quel point devons-nous punir une entreprise qui agit de bonne foi, en respect des règles de divulgation de brèche applicable, mais qui est fautive selon une autre disposition fondamentale? Car de la punir aussi lourdement alors qu’elle était d’aussi bonne foi ne créerait pas un précédent qui pourrait amener les autres compagnies à ne pas tout dévoiler conformément à l’article 33 du RGPD, de peur d’être trouvé coupable sur un autre front?
C’est pourquoi, dans la situation de Knuddels, la LFDI a pris en compte différents critères de détermination de la peine tels que la coopération, la notification aux autorités et j’en passe. C’est pourquoi, la LFDI est arrivée à la conclusion que par sa volonté de coopérer, d’améliorer son service de sécurité selon les recommandations de LFDI et la précision avec laquelle la compagnie a respecté les articles 33 et 34 RGPD, une sanction de seulement 20 000 euros serait adéquate en l’espèce.
Il est donc important de tirer quelques leçons de ce cas. Premièrement, il semble pour le moment, plus efficace et financièrement plus économique de coopérer avec les autorités spécialistes en la matière. Deuxièmement, le respect des procédures présentées dans le RGPD semble être un élément clé dans la détermination de la peine. Troisièmement, la nécessité de transparence de l’entreprise face à ses utilisateurs n’est plus un mythe, les autorités se sont créées une mission personnelle de la faire respecter. Évidemment, nous venons tout juste de célébrer les six (6) mois de l’entrée en vigueur du RGPD, il sera donc intéressant de suivre les tendances pour les mois à venir.
[1]LFDI signifie en allemand : Landesbauftragter fur Datenschutz und Informationsfreiheit
Commentaires