RGPD et notification de failles : Twitter écope d’une sanction de 450 000 euros

RGPD et notification de failles : Twitter écope d’une sanction de 450 000 euros

Par Sébastien Gavois

Le 16 Décembre 2020 à 09h54
Droit
2 min 10

RGPD et notification de failles : Twitter écope d’une sanction de 450 000 euros

Quelques jours après l’amende de 100 millions d’euros infligée à Google par la CNIL, son homologue irlandais sanctionne cette fois Twitter. Le montant n’est pas le même : 450 000 euros, mais la base juridique est différente et ne concerne pas les cookies et la directive ePrivacy.

Cette fois, la Data Protection Commission (DPC) estime que Twitter n’a pas respecté le RGPD, en particulier l’obligation faite de notifier dans les temps l’autorité de contrôle en cas de faille de sécurité. L’homologue irlandais de la CNIL considère aussi que le réseau social n’a pas suffisamment documenté ladite brèche.

La faille avait été découverte, dans le cadre d’un programme de bug bounty, le 26 décembre 2018 pour être notifiée à la DPC seulement le 8 janvier 2019. La faille remontait au 4 novembre 2014.  Près de 90 000 utilisateurs furent affectés. Ces 450 000 euros ont été considérés comme des mesures effectives, proportionnées et dissuasives. 

C’est la première décision à éprouver la procédure de l’article 65 du RGPD, sur la résolution des litiges orchestrée par le Comité. C’est aussi la première où l’ensemble des autres autorités de contrôle européennes fut consulté par l’autorité cheffe de file.

Commentaires (10)


[Ledieu-Avocats] Abonné
Le 16/12/2020 à 11h02

En réalité, la décision du EDPB ne dit pas tout à fait ça :



(point 207) “…on the insufficiently dissuasive nature of the fine [l’amende administrative à prononcer], the EDPB decides … that the [Irish data protection authority] is required to re-assess the elements it relies upon to calculate the amount of the fixed fine to be imposed on TIC, and to amend its Draft Decision by increasing the level of the fine…”



Il faudra donc attendre la décision revue de condamnation, qui a ma connaissance, n’est pas encore rendue publique…



Patience…


Coeur2canard
Le 16/12/2020 à 14h01

(reply:1843991:[Ledieu-Avocats])




Complément d’info intéressant thx!


swiper Abonné
Le 16/12/2020 à 14h45

“L’homologue irlandais de la CNIL considère aussi que le réseau social n’a pas suffisamment documenté ladite brèche.”




Pas seulement d’ailleurs ! L’obligation d’information à l’autorité ET le manque de détail expliqué une fois la brèche rendue publique ont été reprochés.



:cap:


MisterDams Abonné
Le 16/12/2020 à 19h49

Je suis pas sûr de cautionner que mon abonnement serve à financer l’achat de droits pour ce type d’illustrations :mdr:


Salamandar
Le 17/12/2020 à 15h51

Il n’y a pas d’obligation de notifier les utilisateurs lors de telles failles ?
Par exemple, Kubii ne s’est fendu que d’un tweet pour informer le vol de bases de données utilisateurs (contenant emails et mots de passe hashés).


[Ledieu-Avocats] Abonné
Le 18/12/2020 à 12h43

C’est la non déclaration d’une fuite à l’autorité de contrôle qui peut être sanctionnée…


[Ledieu-Avocats] Abonné
Le 18/12/2020 à 12h40

oui, c’est confirmé (9 décembre 2020) : 450.000 € de sanction pour Twitter.



Pour non déclaration d’une faille de sécurité / fuite de données (ou “violation de données à caractère personnel” pour les juristes les plus pointilleu(ses)x.


Salamandar
Le 20/12/2020 à 09h43

(reply:1844502:[Ledieu-Avocats])




Bin… D’où ma question, en fait. Je suis étonné qu’il n’y ait aucune obligation à prévenir les clients.


[Ledieu-Avocats] Abonné
Le 21/12/2020 à 10h58

IL y en a une mais qui “saute” lorsque les données sont chiffrées… C’est l’article 34 RGPD “Communication à la personne concernée d’une violation de données à caractère personnel” :



“1. Lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais.




  1. La communication à la personne concernée visée au paragraphe 1 du présent article décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins les informations et mesures visées à l’article 33, paragraphe 3, points b), c) et d).

  2. La communication à la personne concernée visée au paragraphe 1 n’est pas nécessaire si l’une ou l’autre des conditions suivantes est remplie:
    a) le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès, telles que le chiffrement;
    b) le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées visé au paragraphe 1 n’est plus susceptible de se matérialiser;
    c) elle exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d’être informées de manière tout aussi efficace.

  3. Si le responsable du traitement n’a pas déjà communiqué à la personne concernée la violation de données à caractère personnel la concernant, l’autorité de contrôle peut, après avoir examiné si cette violation de données à caractère personnel est susceptible d’engendrer un risque élevé, exiger du responsable du traitement qu’il procède à cette communication ou décider que l’une ou l’autre des conditions visées au paragraphe 3 est remplie.”


Salamandar
Le 21/12/2020 à 12h16

(reply:1844814:[Ledieu-Avocats])




Merci. Les bases de données client sont rarement chiffrées (sinon on n’aurait pas des bdd de mails dans la nature).


Fermer