Le Dublin Circuit Court (DCC) a confirmé la décision de la Data Protection Commission (DPC), datant de décembre 2020, d'infliger une amende administrative de 450 000 euros à Twitter International Company.
L'enquête avait été ouverte en janvier 2019 après qu'une faille ait été découverte, dans le cadre d’un programme de bug bounty, le 26 décembre 2018. La faille remontait au 4 novembre 2014, mais Twitter n'a informé la DPC de la violation de données personnelles que le 8 janvier 2019.
La décision a conclu qu'il aurait dû être informé de la violation au plus tard le 3 janvier 2019. Près de 90 000 utilisateurs furent affectés.
Commentaires (8)
#1
Je ne comprends pas trop les délais. Normalement, c’est 72h pour notifier une violation de données (Article 33 du RGPD). Pourquoi cette date du 3 janvier alors si la faille a été notifiée à Twitter le 26 décembre ? Cela devrait être le 29 décembre au plus tard.
#1.1
La RGPD n’était pas mis en place le 4 novembre 2014
#1.2
Ils ont eu connaissance de la faille le 26 décembre 2018 et là, le RGPD était bien applicable.
#1.3
C’est la date de notification ou de découverte de la faille qui compte. Donc, oui, le RGPD était bien en place.
La faille a été notifié le 26 décembre 2018. Le RGPD donne 72h pour la notifier, soit jusqu’au 29 décembre 2018. D’où ma question : pourquoi le 3 janvier 2019 ?
#1.4
En fait, ce n’est pas la connaissance d’une faille qui donne le début des 72h mais quand le responsable du traitement a un degré de certitude raisonnable qu’un incident a eu lieu et a touché des données personnelles. (lire le § Quand faut-il notifier à la CNIL ?). Il faut donc ajouter la durée de la phase d’investigation que l’on ne connaît pas.
#1.5
C’est plus compliqué que cela. Sinon, les “mauvais joueurs” n’examineraient jamais les failles. “Ah non ! On n’avait pas de déclaration à faire, puisqu’on a jamais su :p”.
Ici, il s’agissait quand même d’un bug bunty. Donc les conséquences étaient connues relativement tôt (dès la déclaration). Reste le côté exploitation. Est-ce que cette faille a été exploitée ? Si oui, cela concerne combien de personnes ? Des questions un peu plus dur à répondre.
C’est pour cela que le RGPD précise bien que les 72h, c’est la déclaration initiale. Déclaration qui peut être complétée par la suite pour apporter des éléments nouveaux.
Ici, on a un réseau social avec des centaines de millions d’utilisateurs. Devant l’ampleur potentielle, c’est déclaration à l’autorité compétente dès notification, car le nombre d’utilisateurs potentiellement impactés est un des critères permettant de juger de la criticité d’une violation.
D’ailleurs, c’est un des exemples que donne la CNIL où le responsable de traitement est considéré comme étant informé de la violation, dès lors qu’un cybercriminel contacte le responsable du traitement et lui indique qu’il a pu subtiliser des données sur les serveurs de la société (bug bounty, donc même si le terme cybercriminel me parait mal choisi ici, on est dans ce cas de figure).
Après, faut être pragmatique. Une déclaration tardive sera reprochée. Une déclaration inutile non. Donc vaut mieux faire une déclaration, quitte à dire ensuite, qu’après enquête, il n’y a pas eu de violation ou violation mais sans conséquence notable.
#2
C’est bien, mais la justice a mis quand même 2 ans et 9 mois pour enquêter, décider et confirmer une amende pour 5 jours de retard…
#3
Pas la justice, mais l’équivalent local de la CNIL.
Il semblerait qu’ils aient aussi qques problèmes de financement…