Alors que Yahoo cherche à calmer le jeu avec une communication apaisante, les conséquences de la fuite de données continuent. L’équivalent irlandais de la CNIL commence ainsi à se pencher sur cet incident majeur, et plus encore : les révélations récentes sur l’espionnage des emails suscitent aussi son intérêt.

L’automne 2016 aura décidément été bien compliqué pour Yahoo. Fin septembre, la firme révélait la fuite de données de 500 millions de comptes. Le chiffre, effrayant, s’accompagnait d’une dimension aggravante : le piratage avait eu lieu presque deux ans auparavant. Une enquête récente a d’ailleurs révélé que la société savait depuis longtemps qu’un incident avait eu lieu, sans pouvoir faire le lien.

En octobre, alors que la firme avait déjà du mal à contenir l’onde de choc, on apprenait qu’elle avait accepté de mettre en place une solution de surveillance à la demande du FBI. L’information n’a été qu’à moitié confirmée par Yahoo, qui indiquait simplement que la vérité n’était pas si simple. Notez cependant que les entreprises américaines sont tenues d’appliquer les demandes des forces de l’ordre quand elles sont munies du mandat adéquat.

Le régulateur irlandais se penche sur ces questions

Mais ces affaires ont fait se soulever bien des sourcils. L’équivalent irlandais de la CNIL, la Data Protection Commission (DPC), a indiqué hier qu’elle avait commencé à examiner la situation, non seulement sur le vol de données, mais sur l’analyse des emails commandée par le gouvernement américain.

Selon Reuters, la porte-parole MB Donnelly a indiqué que la Commission démarrait ainsi une procédure pour savoir si des lois européennes avaient été enfreintes. « Nous sommes régulièrement en contact avec Yahoo EMEA (Europe, Moyen-Orient et Afrique) pour clarifier certains faits dans cette affaire et nous aviserons ensuite des meilleures dispositions à prendre » a-t-elle ajouté. Le processus n’en est donc qu’à ses débuts, la DPC n’ayant pas voulu indiquer si Yahoo avait déjà commencé à fournir des informations sur l’espionnage des emails.

Yahoo distingue examen et enquête

Du côté de l’entreprise, on relativise pour l’instant. Le porte-parole Charles Stewart a ainsi tenu à préciser que la Commission « n’enquêtait pas activement », soulignant la nuance des propos : « Ils examinent. Il existe une distinction chez eux entre examen et enquête ». On rappellera cependant qu’avec un siège européen basé à Dublin, la Data Protection Commission est le régulateur le mieux placé à cet échelon pour se pencher sur l’affaire.

Yahoo a également indiqué que le DPC n’examinait pas encore le programme d’analyse des emails, la Commission ne faisant pour l’instant que se renseigner. Elle tient cependant à savoir si les utilisateurs européens de Yahoo Mail ont été ciblés par cette surveillance de masse. Il est probable qu’aucun résultat ou avis ne sera publié avant plusieurs semaines, voire plusieurs mois.