500 millions de comptes piratés, que risque Yahoo! ?

Yahoo! a confirmé avoir été victime d’une attaque informatique sans précédent. Plus de 500 millions de comptes auraient été piratés par une « entité liée à un État ». Dans un communiqué en date du 22 Septembre, la firme californienne précise que « Les informations dérobées sont des noms, des emails, des numéros de téléphone, des dates de naissance, des mots de passe hachés, des questions de sécurité et leur réponse ». Que risque Yahoo ?

Yahoo! n’échappera pas aux sanctions européennes

Yahoo! étant une firme américaine, la question de la compétence des autorités européennes peut se poser. En 2014, la CNIL s’était déclarée compétente pour prononcer une sanction à l’égard de Google. Quand bien même l’entreprise n’était pas domiciliée en France, la CNIL avait affirmé que la loi informatique et liberté devait s’appliquer. Elle s’était appuyée sur un double constat : Google proposait non seulement ses services sur le territoire français, mais y procédait également à des traitements de données. Ce raisonnement a rapidement été conforté par la Cour de Justice de l’Union Européenne dans l’arrêt Google Spain.

Si l’on suit ce raisonnement, Yahoo! pourrait donc bel et bien avoir à se justifier devant les autorités de régulation européennes. En effet, avant que l’activité européenne soit entièrement transférée en Irlande, Yahoo! disposait de plusieurs filiales en Europe, dont une en France. La date des faits sera alors essentielle pour la suite des opérations.

Quelles sont les sanctions encourues par Yahoo ! en France ?

Même si l’entreprise minimise les répercussions de ce vol de données, le préjudice causé aux utilisateurs est pour le moins critique. Le rôle des autorités de régulation en charge de la protection des données personnelles va alors être crucial dans les prochains mois.

En vertu de la réglementation européenne, les entreprises doivent veiller à la sécurité des données afin d’empêcher que les fichiers soient déformés, endommagés ou qu’un tiers non autorisé y ait accès. Les entreprises ont alors l’obligation de sécuriser leurs systèmes d’informations mais également les locaux dans lesquels de telles données sont détenues.

Aujourd’hui, en France, les entreprises ayant subi ces attaques et dont les failles de sécurité ont été avérées, peuvent être sanctionnées à hauteur de 300 000 euros. Cette amende n’est évidemment pas assez dissuasive pour une entreprise comme Yahoo!. A noter que la CNIL fait partie des autorités de régulation les moins sévères d’Europe. En Espagne, les sanctions peuvent s’élever à 900 000 euros.

Au delà de cette sanction financière, la personne en charge de la sécurité des données personnelles encourt cinq ans d’emprisonnement.

Le nouveau règlement européen relatif aux données personnelles -qui entrera en vigueur en 2018- élève le niveau de sanction puisque les multinationales devront payer une amende pouvant aller jusqu’à 4% de leur chiffre d’affaire mondial. Voilà qui devrait encourager les entreprises à sécuriser davantage leurs données ….

« Class action » et dommages et intérêts

D’ores et déjà poursuivie au civil, la firme américaine va devoir faire face à une « class action », c’est-à-dire à un recours collectif. En effet, Yahoo ! est accusé de négligence grave. Les plaignants considèrent que le piratage aurait pu être évité si le groupe avait renforcé ses mesures de sécurité à la suite des différentes tentatives d’infraction. En outre, ils pointent le manque de réactivité de la société américaine qui n’a pas averti suffisamment rapidement ses utilisateurs.

Dans le cadre des différentes demandes en dommages et intérêts, l’addition pourrait se révéler assez salée !

Une réputation menacée, une transaction en péril

Cette affaire pourrait avoir des répercussions terribles en terme d’image pour la firme américaine. A l’ère du « tout-numérique », la protection des données personnelles tend à devenir un argument décisif pour fédérer de nouveaux utilisateurs. Face à la concurrence et à l’hégémonie de Google, la firme américaine devra donc redoubler d’efforts pour surmonter ce scandale.

Par ailleurs, ces révélations tombent très mal puisque Yahoo! est en cours de rachat par l’opérateur télécom Verizon. Estimée à 4,8 milliards de dollars, la transaction n’est pas encore achevée et cette affaire pourrait avoir des répercussions sur le montant du rachat. Interviewé par NBC, le CEO de Verizon n’a pas souhaité aborder cette question. Il a indiqué que le vol des données et la transaction étaient deux choses distinctes. Verizon cherche avant tout à cerner méthodiquement les raisons et la portée du problème.

S’il est encore trop tôt pour évaluer les véritables conséquences de ce piratage pour la firme, une chose est sûre : Yahoo! devra répondre de ce scandale devant les tribunaux et les autorités de régulation.

Carole Boyer

PAS DE COMMENTAIRES

LAISSER UNE RÉPONSE