La presse a encore fait écho d’une faille de sécurité menaçant les données à caractère personnel des clients d’une grande entreprise.
Après Snapchat (publication de données de 4,6 millions d’utilisateurs), Orange (vol de données de 1,3 million de clients/prospects) et Target (vol de 40 millions de coordonnées et codes PIN de cartes bancaires) voici le tour d’Ebay.
Selon les derniers chiffres, la faille de sécurité qui a touché EBAY concerne pas loin de 150 millions d’utilisateurs.
Il s’agirait alors d’un des plus grands holdup de données à caractère personnel, avec celui qui avait touché la société Adobe il y a quelques mois fin 2013, concernant une faille de sécurité qui fragilisait près de 152 millions de comptes utilisateurs.
Le 21 mai 2014, Ebay a demandé à tous ses utilisateurs de changer leurs mots de passe suite à une intrusion pouvant menacer leurs données à caractère personnel.
Cette mesure a été diligentée par Ebay pour éviter une éventuelle exploitation frauduleuse des données de leurs utilisateurs qu’ils soient clients ou prospects.
Les données concernées sont a priori les nom, prénom, mot de passe, adresse mail, date de naissance, adresse postale, numéro de téléphone.
Pour rappel, EBAY, en qualité de responsable de traitement, doit mettre en place des mesures proportionnées et appropriées de protection des données à caractère personnel qu’il collecte.
Tout professionnel doit procéder a minima à des mesures de sécurité protégeant les données de ses clients et prospects. Il s’agit de mesures de gestion saine et d’anticipation des risques auxquelles tout dirigeant se doit de se conformer, d’autant que le principe en droit français reste que l’employeur est de plein droit responsable de l’activité de ses salariés.
Pour rappel, l’article 34 de la loi Informatique et libertés impose à tout chef d’entreprise collectant et traitant des données à caractère personnel de mettre en place des mesures de sécurité pour empêcher que ces données ne soient déformées, endommagées ou que des tiers non autorisés y aient accès.
A défaut, cela constitue une infraction pénale sanctionnée de cinq ans de prison et de 300 000 € d’amende (Article 226-17 du Code pénal). Pour les personnes morales la peine d’amende encourue est quintuplée, soit 1 500 000 euros.
Cette obligation de sécurité est d’ordre général et il n’existe pas de liste exhaustive de mesures à mettre en place.
Cependant, l’employeur, en tant que responsable de traitement, peut voir sa responsabilité engagée du seul fait de la mauvaise identification des précautions à mettre en œuvre.
A titre d’exemple de mesure du risque, les données dérobées à Ebay pourraient être utilisées pour envoyer des emails frauduleux et propager ainsi des virus ou encore pour pirater des comptes, car il est à noter que grand nombre de personnes ont le même mot de passe pour plusieurs de leurs applications et comptes en ligne.
En outre, la CNIL a fait une priorité des contrôles liés à la sécurité des données sur internet. En effet, elle a procéder à des contrôles via le web grâce un pouvoir d’investigation renforcé par l’article 76 de la loi n° 2014-344 du 17 mars 2014 relative à la consommation.
A ce titre il est recommandé de :
auditer la sécurité et la gestion des données à caractère personnel, y incluant les données sensibles et confidentielles
mettre en place un Guide Sécurité
assurer la traçabilité des actions sur le réseau
avoir une politique de mot de passe rigoureuse, avec des mots de passe régulièrement changés et suffisamment complexes.
Pour toute information complémentaire cliquez ici.
A lire aussi sur ce sujet :
La CNIL frappe fort et ne compte pas s’arrêter là !
Vol de données chez ORANGE : les clients peuvent voir rouge !
Le point sur la sécurité et l’archivage des données
