Pourquoi il est si difficile de punir les entreprises pour les atteintes à la protection des données
Il est difficile de déterminer comment et où des entreprises comme Facebook se sont trompées, ce qui rend la réglementation difficile.
Par Josephine Wolff/ NYT
Mme Wolff est professeure adjointe au Rochester Institute of Technology.
Qu’advient-il des entreprises qui autorisent le vol de nos données personnelles ? Dans la plupart des cas, rien. Parfois, il y a une vague éphémère de mauvaise publicité, une brève chute des cours boursiers, une poursuite en recours collectif ou une enquête de la Federal Trade Commission qui mène à un règlement symbolique ou à une amende. Facebook est peu susceptible d’être confronté à des conséquences graves et à long terme à la suite d’une faille de sécurité annoncée le mois dernier, qui a exposé les données des comptes de 50 millions d’utilisateurs.
À première vue, l’absence de conséquences pour les entreprises en cas d’atteinte à la protection des données peut sembler être un problème évident auquel il est facile de remédier par une réglementation lourde comme le règlement général de l’Union européenne sur la protection des données. Cependant, le problème s’avère plus compliqué que cela. Deux défis, en particulier, ont entravé l’efficacité des réponses juridiques et réglementaires aux atteintes à la sécurité : déterminer si une entreprise a fait preuve de négligence dans ses pratiques de sécurité et déterminer comment calculer la valeur monétaire des renseignements personnels volés et les préjudices infligés aux personnes dont les données ont été atteintes.
Le fait que vos renseignements personnels aient été volés à une entreprise ne signifie pas nécessairement que l’entreprise a mal protégé vos données et mérite donc d’être punie. La brèche dans Facebook, par exemple, a été rendue possible par trois vulnérabilités logicielles liées aux outils des utilisateurs pour la protection de la vie privée et pour le téléchargement de vidéos d’anniversaire. Ces vulnérabilités peuvent sembler être des problèmes que Facebook aurait dû déceler très tôt, mais la vérité est que chaque entreprise a de tels bogues dans ses logiciels.
La question cruciale pour déterminer la culpabilité de Facebook pour cette violation est de savoir s’il aurait dû être en mesure de détecter et de corriger ces vulnérabilités particulières plus tôt. L’entreprise a-t-elle testé rigoureusement le code avant de le publier ? A-t-elle ignoré les signes d’avertissement ou les notifications extérieures concernant les bogues ? A-t-elle agi rapidement lorsqu’il s’est rendu compte pour la première fois que quelque chose n’allait pas ?
Peut-être que Facebook a fait absolument tout ce qu’il fallait et n’a pas eu de chance. Si c’est le cas, il serait injuste et improductif de pénaliser sévèrement l’entreprise. D’un autre côté, si Facebook a ignoré plusieurs signes avant-coureurs et n’a pas examiné ses nouveaux outils avant de les diffuser, il est tout à fait approprié que l’entreprise fasse face à une amende importante pour l’inciter à être plus attentive à la sécurité dans l’avenir.
La difficulté consiste à déterminer où se situe la ligne de démarcation entre les entreprises qui font preuve de diligence raisonnable et celles qui font preuve de négligence. Dans l’une des rares affaires qui ont directement abordé cette question, la Cour d’appel du troisième circuit des États-Unis a statué en 2015 que la chaîne hôtelière Wyndham Worldwide n’avait pas fourni à ses clients des protections de sécurité raisonnables parce qu’elle n’avait pas utilisé de pare-feu ou de cryptage et n’avait pas exigé des utilisateurs de changer leurs mots de passe par défaut. Mais pour une entreprise comme Facebook, qui franchit certainement cette barre très basse, on ne sait toujours pas quel niveau de sécurité est assez élevé pour qu’elle puisse assumer ses responsabilités envers ses clients.
Au-delà du défi de décider si une entreprise comme Facebook a été négligente, il est souvent difficile pour les juges et les organismes de réglementation d’attribuer une valeur monétaire au préjudice qu’une atteinte à la protection des données a causé aux personnes touchées. Il est plus facile d’évaluer les dommages si les données volées peuvent être directement liées à des pertes financières, mais les données volées conduisent souvent à des humiliations plus personnelles, comme dans le cas de la violation en 2015 du site Web Ashley Madison qui a révélé l’identité de personnes cherchant des affaires extraconjugales, ou des employés Sony Pictures dont les e-mails embarrassants ont fait l’objet de fuites à la suite de l’ouverture du bureau 2014 de la société.
Nous ne savons pas comment mettre un prix sur ce type d’atteinte à la vie privée, ce qui rend plus difficile l’utilisation de recours légaux ou réglementaires pour punir les entreprises qui en sont responsables. Cela, à son tour, réduit les incitations financières pour toutes les entreprises à investir dans la sécurisation des données des utilisateurs. Le recours collectif intenté contre Ashley Madison, par exemple, a abouti l’an dernier à un règlement totalisant 11,2 millions de dollars. Et la F.T.C., qui avait initialement demandé une pénalité de 17,5 millions de dollars pour cette infraction, a accepté un règlement de 1,6 million de dollars. Entre-temps, l’entreprise a fait état d’une forte croissance du nombre de ses utilisateurs à la suite de la brèche.
Après sa brèche de sécurité de 2017 de 146 millions de données de personnes, le bureau d’évaluation du crédit d’Equifax se porte aussi très bien. Un an plus tard, elle est en bonne voie d’enregistrer des bénéfices records. Oui, la Grande-Bretagne a infligé une amende de 500 000 livres à Equifax le mois dernier (ce qui n’est pas une somme faramineuse pour une entreprise qui rapporte plus de 3 milliards de dollars en revenus annuels), mais le Consumer Financial Protection Bureau des États-Unis a décidé cette année de se retirer de son enquête sur la violation.
Il est peu probable que le gouvernement des États-Unis prenne l’initiative d’enquêter sur ce qui s’est passé sur Facebook et de déterminer si la violation justifie des conséquences. Il est possible que l’Union européenne utilise les pénalités accrues prévues dans son nouveau Règlement général sur la protection des données pour imposer des amendes allant jusqu’à 1,63 milliard de dollars à Facebook, mais les amendes réelles seront presque certainement beaucoup moins élevées que cela puisque les organismes de réglementation hésiteront à chasser l’entreprise. Non seulement les utilisateurs européens de Facebook seraient contrariés s’ils ne pouvaient plus utiliser le site, mais Facebook emploie des milliers de personnes en Irlande, le pays dont la Commission de protection des données enquête actuellement sur cette violation. Une amende de plus de 1,5 milliard de dollars ferait autant de tort à l’Irlande qu’à Facebook si elle chassait l’entreprise du pays.
Qu’adviendra-t-il de ces entreprises ? Idéalement, ils devraient faire face à une combinaison de conséquences qui comprendraient à la fois des amendes et des mesures de sécurité correctives. Les amendes devraient être assez lourdes pour motiver un investissement accru dans la sécurité des données et couvrir les pertes de leurs clients – reconnaissant non seulement la perte d’argent, mais aussi la perte de temps, de vie privée et de tranquillité d’esprit – mais pas au point que les amendes ne pourraient jamais être appliquées ou chasseraient l’entreprise du pays.
Les mesures correctives seraient conçues pour s’assurer que les entreprises contrevenantes intensifient leurs pratiques en matière de sécurité et de protection de la vie privée. Il pourrait s’agir d’exiger des vérifications externes de leurs programmes de sécurité ou d’exiger qu’ils respectent les normes de sécurité recommandées publiées par le National Institute of Standards and Technology (un organisme du ministère du Commerce) ou l’Organisation internationale de normalisation. Il pourrait également s’agir de leur demander de fournir des ressources et une assistance en matière de sécurité aux tiers dont la sécurité a également été compromise par la violation, comme dans le cas de Facebook, où des applications comme Spotify et Yelp qui permettaient aux utilisateurs de s’authentifier avec leurs identifiants Facebook étaient également affectées par la violation.
Nous sommes pris entre deux extrêmes : un système de réglementation faible aux États-Unis, qui refuse d’enquêter sur la violation d’Equifax, et un régime d’amendes tellement sévère en Europe que les organismes de réglementation ne seront jamais en mesure d’imposer les sanctions maximales autorisées. Ni l’un ni l’autre de ces systèmes ne parvient à trouver le juste équilibre entre les sanctions financières et les mesures de sécurité correctives. Et jusqu’à ce qu’elles le fassent, les entreprises continueront d’échapper aux conséquences graves de leurs violations.