Les mésaventures de Avid Life Media avec son site Ashley Madison sont l’occasion de rappeler la nécessaire protection juridique des données à caractère personnel et ce d’autant plus à l’aune de l’adoption du nouveau règlement européen. Les explications de Garance Mathias, avocat à la Cour www.avocats-mathias.com.
Le groupe canadien AVID LIFE MEDIA, propriétaire des sites de rencontre Ashley Madison, cougarlife, establishedmen, et qui revendique 40 millions de membres, a vu ses bases de données piratées et mises en ligne. Préalablement à cette mise en ligne, les pirates avaient informé AVID LIFE MEDIA du détournement de leurs bases de données et avaient exigé la fermeture notamment du site Ashley Madison, « leader mondial des relations extraconjugales discrètes », selon le site.
Face au refus de l’éditeur du site de céder à ce chantage, le groupe de pirate dénommé « Impact team », a rendu accessible au public des données (a priori 32 millions d’adresses) volées à savoir les noms, courriels, historique de navigation des utilisateurs. Ils ont également mis en ligne les codes sources des différents sites ainsi que les opérations de maintenance.
Force est de constater que ce site sulfureux qui avait comme maître mot la discrétion a vu celle-ci disparaître en un « clic ». Rappelons que cette discrétion était même un argument commercial (100% rencontres discrètes selon le site), car les utilisateurs pouvaient en contrepartie d’un paiement complémentaire obtenir l’effacement de leurs données. Néanmoins, il semblerait que ces dernières aient elles aussi fait l’objet d’une divulgation, le site n’aurait pas effacé ces dernières.
Des réactions juridiques se mettent en place
Dans ce contexte, les réactions y compris juridiques se mettent en place, des actions collectives seraient en train d’être intentées au Canada. Les utilisateurs canadiens reprochent au site de ne pas avoir protégé leur vie privée et réclament la somme de 760 millions de dollars canadiens. De son côté, AVID LIFE MEDIA annonce qu’il va tout mettre en œuvre sur le plan pénal pour que le groupe de pirates puisse être retrouvé et condamné.
En attendant de voir les suites judiciaires qui seront données tant du côté des victimes que de la société, les mésaventures de Avid Life Media avec son site Ashley Madison sont l’occasion de rappeler la nécessaire protection juridique des données à caractère personnel et ce d’autant plus à l’aune de l’adoption du nouveau règlement européen.
» La protection de votre vie privée est très importante »
De manière générale, dans le cadre de l’utilisation des services d’un site, les utilisateurs s’engagent à respecter des conditions générales (contrat d’adhésion) de celui-ci. A noter que sur le site Ashey Madison, des conditions générales ainsi qu’une politique de confidentialité sont présentes. Ainsi, l’éditeur explique sa politique de confidentialité et annonce s’engager « fermement à respecter la confidentialité », « nous traitons vos données comme un bien à protéger contre la perte ou l’utilisation frauduleuse », « La protection de votre vie privée est très importante et nous avons adopté la politique suivante afin de sauvegarder la confidentialité de vos données personnelles conformément à la loi en vigueur dans l’état ou nous nous situons ». La société a également désigné un « privacy officer », situé à Chypre, garant du respect de la protection des données personnelles.
Une plainte déposée par des victimes françaises peut être envisageable
En France, la loi « Informatique et libertés » impose dans son article 34 au responsable du traitement de « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». A défaut de démontrer que les mesures de sécurité adéquates ont été mises en œuvre, le responsable du traitement pourra voir sa responsabilité pénale engagée (article 226-17 du Code pénal). Une plainte déposée par des victimes françaises peut donc être envisageable. Dans le cadre de cette éventualité, il appartiendra à l’éditeur de démontrer qu’il a respecté la loi nationale et qu’il a mis en place des mesures de sécurité conforme à l’état de l’art pour protéger les données personnelles des utilisateurs (et ce conformément à sa charte de confidentialité).
Concernant les conditions d’utilisation, le droit français énonce que les utilisateurs français sont des consommateurs. Ainsi, la loi française est applicable et s’impose dans le cadre des conditions d’utilisation. Selon la doctrine, ce sont des lois« dont l’observation est nécessaire pour la sauvegarde de l’organisation politique, sociale ou économique », les juridictions françaises sur le plan civil pourront également être compétentes.
Gardons en mémoire que les fuites massives de données qu’elles soient accidentelles ou frauduleuses ont tendance à se multiplier ces derniers années, ou en tout cas, sont bien plus visibles. La liste des entreprises touchées n’a cessé de s’allonger, aux Etats-Unis notamment les sociétés Target, Home Depot, Sony Pictures mais aussi en France notamment Orange.
Les entreprises, responsables du traitement des données, doivent rédiger leurs conditions d’utilisation, leur politique de confidentialité (avec le respect des formalités Cnil) en cohérence avec les mesures de sécurité techniques, organisationnelles mises en place ainsi qu’avec leur politique marketing ou commerciale (cession des bases de données, par exemple) afin que les utilisateurs puissent accéder au service en toute connaissance de cause. Dans ce contexte, les utilisateurs décideront de communiquer ou non leurs données personnelles à un site, selon le degré de confiance que le site leur inspirera.
Seul le respect d’une vraie politique de confidentialité pourra créer une confiance et la pérenniser avec l’utilisateur.
