C’est le 21 janvier dernier que la CNIL prononçait la première sanction française, en application du RGPD, envers GOOGLE LLC : une sanction de 50 millions d’euros pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité. Au-delà des éléments factuels motivant cette sanction, devons-nous y voir un acte symbolique ? la première sanction française en application du RGPD étant infligée à l’un des GAFAM, de surcroît la veille de l’ouverture du FIC (Forum International de la Cybersécurité) à Lille …
Dans notre bilan 2018, nous évoquions un autre GAFAM, Facebook, dont l’actualité a émaillé l’année dernière, notamment en mars, deux journalistes nous révélant que Cambridge Analytica, entreprise britannique spécialisée dans l’influence politique, avait utilisé les données de 87 millions d’utilisateurs de Facebook sans leur consentement. La commission parlementaire britannique, en charge d’investiguer sur les tentatives d’influence étrangères et de désinformation lors de la campagne du BREXIT a finalement rendu son rapport le 18 février 2019.
« Les entreprises comme Facebook, ne devraient pas être autorisées à se comporter comme des « gangsters du numérique » »,
conclut ainsi le comité (1). Ceci en dit long sur la sévérité de ce rapport, selon lequel il y aurait eu notamment facilitation par Facebook de la collecte de données à caractère personnel par des tiers, minimisation par le géant du numérique de plusieurs cas de fuites de données, … et qui serait révélateur d’un dysfonctionnement dans la gouvernance du groupe. Suite dans les prochaines semaines Outre-Atlantique, où le régulateur américain des communications, la FTC, devrait publier les résultats de son enquête également.
Ce début d’année a aussi été marqué, en France, par la poursuite de cyberattaques de grande ampleur. Le 24 janvier 2019, le groupe de conseil en technologie Altran indiquait par voie officielle avoir « été la cible d’une cyberattaque affectant ses opérations dans certains pays européens ». Le groupe concluait ainsi :
« l’enquête que nous avons menée … n’a révélé aucun vol de données ni aucun cas de propagation de l’incident à nos clients. »
Quelques jours plus tard, le 30 janvier, un autre fleuron français, le groupe Airbus, annonçait avoir :
« détecté un incident de cybersécurité dans les systèmes informatiques de son entité Airbus Commercial Aircraft, qui a entraîné un accès non autorisé aux données de l’entreprise. L’incident n’a aucun impact sur les opérations commerciales d’Airbus … ». Le groupe indiquait, en revanche : « il est cependant d’ores et déjà établi que certaines données à caractère personnel ont été consultées. Il s’agit essentiellement de coordonnées professionnelles et d’identifiants informatiques d’employés d’Airbus en Europe ».
Une attaque du type « cheval de Troie » au parfum de guerre économique ?
« Les pirates sont entrés, il y a quelques mois, via les ordinateurs de l’un de ses sous-traitants français, apparemment moins bien protégés. Et ils ont pu consulter des données à caractère personnel de plusieurs cadres du groupe. Apparemment les pirates ciblaient des documents techniques relatifs à la certification des avions fabriqués par Airbus. Une tentative d’espionnage industriel caractérisée. » (2)
D’après les enquêteurs, il s’agirait d’un groupe de hackers chinois, APT 10, un groupe d’individus dont le but est avant tout l’espionnage et la surveillance, également spécialistes de la dissimulation.
Quelques jours plus tôt, à l’occasion du FIC, l’ANSSI nous avait appelés à « un engagement collectif pour stabiliser le cyberespace » :
« ces derniers mois ont encore démontré l’ampleur de la menace, marquée par la préparation des conflits cyber du futur. Face à la complexité de ces enjeux, il est plus que jamais nécessaire de s’organiser collectivement pour assurer le développement d’un cyberespace stable et de confiance. »
Soyons donc plus que jamais vigilants, non seulement envers nos propres écosystèmes IT, mais aussi ceux de nos partenaires, ainsi que ceux de nos entités locales que nous pouvons être amenés à partager.
Et enfin, last but not least sur le front de la donnée … nous continuerons à surveiller l’issue du BREXIT. La CNIL a déjà publié des directives en cas de BREXIT sans accord (3). En effet, en cas de retrait du Royaume-Uni de l’Union Européenne, le Royaume-Uni deviendrait un pays tiers à partir du 30 mars 2019
« et, en l’absence d’accord avec l’UE pour un retrait dit « ordonné », les flux de données personnelles seront considérés comme un transfert de données hors de l’Union Européenne (UE) et de l’Espace Economique Européen (EEE).»
Concrètement, il sera alors nécessaire de mettre en place un niveau de protection adéquat pour tout transfert de données vers le Royaume-Uni, répondant aux obligations du RGPD.
(1) Damien Leloup, quotidien Le Monde, édition du 20 février 2019
(2) https://www.franceinter.fr/emissions/histoires-economiques/histoires-economiques-07-fevrier-2019
(3) https://www.cnil.fr/fr/se-preparer-un-brexit-sans-accord-quelles-questions-quels-conseils-de-la-cnil