Enquête sur la soi-disant apocalypse de Yahoo en matière de vie privée
Yahoo est désormais contrôlé par deux autorités européennes de protection des données. L'organisme britannique de protection des données ICO, qui a qualifié l'ampleur de la dernière attaque de "choquante", a annoncé qu'il allait enquêter de plus près sur cette affaire. Outre l'Irlande, où se trouve le siège de Yahoo, le FBI américain intervient également parce qu'un État (probablement la Russie) pourrait être derrière l'attaque de Yahoo.
Recalculé : Sanctions selon la DSGVO
Si la DSGVO était déjà applicable - ce qui ne sera pas le cas avant le 25 mai 2018 - et que Yahoo n'avait pas signalé le vol de données personnelles de 500 millions d'utilisateurs à une autorité de protection des données dans les 72 heures, l'entreprise serait confrontée à des sanctions massives.
La violation de l'obligation de notification prévue à l'article 33 du règlement d'exemption par catégorie DS peut entraîner des pénalités s'élevant à deux pour cent du chiffre d'affaires mondial annuel. Ces dernières années, le chiffre d'affaires de Yahoo a dépassé la barre des 4,5 milliards de dollars US.
En vertu de l'ODVG, Yahoo devrait donc transférer au moins 90 millions de dollars à l'UE.
Et puis il y a Verizon, avec un chiffre d'affaires annuel de plus de 130 milliards de dollars, qui est en train d'acheter Yahoo. Si la reprise était déjà réalisée, Verizon devrait faire face à une pénalité de deux pour cent des 134 milliards, soit environ 268 millions de dollars.
Qu'est-ce que cela nous apprend ? Les grandes multinationales et les entreprises américaines présentes sur Internet devraient maintenant prendre des dispositions pour un incident de sécurité de type Yahoo après le 25 mai 2018.
Ici un autre lien vers des points importants concernant la DSGVO
(Source : Varonis)
Parmi les nombreuses autres incohérences de cet incident, il est assez surprenant que Yahoo ait déjà eu connaissance de cet incident de sécurité pendant l'été. Après tout, les données des utilisateurs avaient déjà été proposées à la vente sur Darknet. Les données volées semblent être le résultat d'un attentat qui a eu lieu en 2014. Il s'agit donc d'une violation manifeste des exigences en matière de rapports.
Personnes physiques concernées ?
La seule loi fédérale américaine qui impose une obligation de déclaration stricte s'applique uniquement aux données médicales personnelles détenues par des "entités couvertes par la loi" telles que les compagnies d'assurance, les hôpitaux et les prestataires de soins de santé. Cette loi est la Health Insurance Portability and Accountability Act, ou HIPAA.
Le gouvernement américain n'a donc aucun moyen de sanctionner Yahoo pour avoir signalé très tardivement l'incident de sécurité. Il existe des lois dans 47 États américains qui exigent une déclaration obligatoire. Celles-ci s'appliqueraient ici, mais la sanction dépend généralement du préjudice subi par les consommateurs, ce qui est difficile à prouver concrètement.
Comme toujours, la seule exception est la Californie, où se trouve le siège social de Yahoo. Dans ce cas, tout accès non autorisé aux données doit être signalé dès qu'il est connu. Yahoo doit donc recevoir la visite du procureur général de Californie.
Contrôle par l'Union européenne ?
On pourrait penser que l'Union européenne punit plus sévèrement que les États-Unis les violations de la protection des données. Toutefois, la directive européenne actuelle sur la protection des données ne prévoit pas d'obligation de signalement des incidents de sécurité. C'est également l'une des raisons qui ont motivé l'élaboration du règlement de base sur la protection des données, qui sera applicable à partir de mai 2018.
Conséquences juridiques
Il est possible que Yahoo ne s'en sorte pas encore indemne dans l'UE : Après tout, la directive sur la protection des données exige des mesures de sécurité appropriées (article 16). Yahoo pourrait donc théoriquement être poursuivi pour insuffisance de mesures de protection des données.
Cependant, Yahoo est une société américaine dont les serveurs de collecte de données sont principalement situés en dehors de l'UE. Il se pourrait donc bien que le bras long de la politique de protection de la vie privée ne soit pas assez long après tout. La situation est donc tout sauf claire.
Si vous souhaitez en savoir plus sur la mesure dans laquelle la directive actuelle sur la protection des données s'applique également aux entreprises non européennes, vous trouverez une bonne analyse de la situation juridique dans cet article de blog.
Pour un aperçu de la législation sur la protection des données dans l'UE, voir également le livre blanc par Varonis.
