Rançongiciels et « double extorsion » : le paiement de la rançon ne doit surtout pas être la solution

Les rançongiciels, en plein boom, constituent un fléau numérique mondial qui pourrait coûter en 2021 plus de 20 milliards de dollars de dommages – rançons comprises. Or payer les sommes exigées – sans résultat parfois – ne fait qu’alimenter un cercle vicieux que seul l’arsenal juridique peut enrayer.

Par Richard Willemant*, avocat associé, cabinet Féral

Selon l’Agence nationale de la sécurité des systèmes d’information (Anssi), un rançongiciel se définit comme une « technique d’attaque courante de la cybercriminalité [consistant] en l’envoi à la victime d’un logiciel malveillant qui chiffre l’ensemble de ses données et lui demande une rançon en échange du mot de passe de déchiffrement » (1). Depuis plusieurs années, le monde entier connaît une augmentation exponentielle des cyberattaques par rançongiciels, marquée par une forte accélération ces derniers mois en pleine pandémie de covid-19 (2).

Ransomware-as-a-Service (RaaS)
Les signalements auprès de l’Anssi de ce type d’attaques informatiques ont en effet augmenté de près de 255 % en 2020 (3). Elles représentent une part substantielle des 3.000 notifications de violation de données (environ) qui sont régularisées auprès de la Commission nationale de l’informatique et des libertés (Cnil) chaque année (4). Ce véritable fléau numérique frappe tous les secteurs d’activités et tous les types d’acteurs économiques, y compris les plus sensibles, sans qu’aucune zone géographique ne soit épargnée. Cette tendance est facilitée par la disponibilité grandissante sur les marchés cybercriminels de solutions « clé en main » de type Ransomware-as-a-Service (RaaS) permettant, aux attaquants de type étatique ou hackers, de réaliser plus aisément des attaques massives ou ciblées. Si tous les acteurs économiques sont concernés, les spécialistes relèvent néanmoins une tendance accrue au ciblage d’entreprises, de collectivités publiques ou d’institutions particulières relevant du « Big Game Hunting » (chasse au gros gibier), en raison de leur taille, de leurs vulnérabilités – vraies ou supposées – et de l’impact médiatique (potentiel) d’une telle cyberattaque. L’actualité a été marquée, en pleine lutte contre le covid-19, par les attaques informatiques à l’encontre des hôpitaux qui sont devenus des cibles privilégiées. Le centre hospitalier de Dax (dans le sud de la France) a par exemple subi une attaque de grande ampleur, en février 2021, rendant indisponible l’ensemble de son système informatique, médical, comptable et de communication (5). Le système de santé irlandais (HSE) a également été victime d’un rançongiciel, en mai 2021 cette fois, conduisant à l’interruption de tous ses systèmes informatiques et notamment le système de prise de rendez-vous pour le dépistage du covid-19. Après avoir chiffré les données et bloqué les systèmes, l’attaquant aurait menacé de diffuser les données volées mais le Premier ministre irlandais a aussitôt déclaré que son pays ne paiera pas la rançon (6). Le monde a alors découvert, avec effroi, que les rançongiciels ne portent pas seulement atteinte aux données et à des valeurs économiques, mais qu’ils peuvent directement mettre en danger des vies humaines.
Le droit pénal et la procédure pénale en France sont d’ores et déjà pourvus en moyens de lutte. Les auteurs des attaques peuvent être poursuivis sur des fondements de droit commun et de droit spécial. En premier lieu, les faits relevant d’attaques par rançongiciel sont susceptibles de caractériser des infractions de droit commun, tels que le délit d’escroquerie (article 313-1 du code pénal) et le délit d’extorsion (article 312-1), réprimés par des peines principales d’emprisonnement respectivement de cinq ans et sept ans. Ces infractions peuvent éventuellement être commises et poursuivies avec la circonstance aggravante de bande organisée, étant précisé que dans cette hypothèse d’extorsion est alors un crime puni de vingt ans de réclusion criminelle et de 150.000 euros d’amende. En outre, ces attaques caractérisent des atteintes aux systèmes de traitement automatisé de données qui sont spécifiquement incriminées, au rang des infractions dites « informatiques », par les articles 323-1 à 323-8 du code pénal. Sont ainsi généralement constitués les délits d’accès et de maintien frauduleux dans un système de traitement automatisé de données, ainsi que le délit d’entrave et de faussement d’un système d’information, et le délit de modification frauduleuse de données, qui sont punis des peines principales de cinq ans d’emprisonnement et de 150.000 euros d’amende (sept ans de prison et 300.000 euros d’amende lorsque l’Etat est visé).

Un arsenal répressif et procédural
Il existe également une infraction d’association de malfaiteurs spéciale qui permet de poursuivre l’ensemble des personnes ayant participé à une entente en vue de préparer des cyberattaques. Ce délit spécifique est prévu par l’article 323- 4 du Code pénal et réprimé par la peine prévue par l’infraction la plus sévèrement réprimée commise par le principal auteur des faits. Tout cet arsenal répressif se conjugue avec des moyens procéduraux adaptés tenant compte de la portée et de l’intensité des atteintes qui requièrent souvent une coordination centrale des actions répressives. L’article 706- 72-1 du code de procédure pénale confie au procureur de la République, au pôle de l’instruction, au tribunal correctionnel et à la cour d’assises de Paris une compétence concurrente nationale en matière d’atteintes aux systèmes de traitement automatisé de données. Il existe en outre une section spécialisée au parquet de Paris, composée de magistrats consacrant leur quotidien à la lutte contre la cybercriminalité, ainsi que des bridages d’enquêteurs spécialisés de Police (OCLCTIC, BL2C) et de Gendarmerie (C3N).

Phénomène de la « double extorsion »
Le mode opératoire des cyberattaquants est marqué depuis 2019 par la prédominance d’un phénomène nommé « double extorsion », consistant à exercer une pression sur la victime en copiant ses données qui sont exfiltrées avant d’être cryptées, puis en menaçant de les publier sur Internet, afin de la conduire à payer la rançon. Dans cette hypothèse, la victime subit, d’une part, une privation de l’accès à ses données et souvent une indisponibilité de son système d’information et, d’autre part, une menace forte d’atteinte à sa réputation, à son image de marque, à la confidentialité à des données. Ces dernières peuvent être stratégiques, sensibles et relever du secret des affaires, outre qu’il peut s’agit de données à caractère personnel concernant notamment des salariés, des usagers ou des clients. La désorganisation de la victime du fait de l’indisponibilité de ses données se double alors de violences psychologiques d’une intensité considérable. C’est ce qui conduit, malheureusement, une part grandissante des victimes à s’incliner et à verser le montant de la rançon.
Or le paiement de la rançon aggrave souvent la situation : une très grande majorité des victimes d’attaque par rançongiciel qui paient la rançon sont la cible d’au moins une seconde attaque. Une étude menée au printemps 2021 montre même que la proportion des victimes qui aggraveraient ainsi leur sort en payant la rançon serait de 80 % au niveau mondial (7). Payer cette rançon n’est donc décidément pas la solution. Cela encourage évidemment les cybercriminels à poursuivre et multiplier leurs agissements. Et un paiement de la rançon ne garantit pas le décryptage des données : la promesse des pirates d’une remise de la clé de déchiffrement n’est pas toujours respectée, ou se trouve souvent conditionnée soudainement au versement d’une rançon complémentaire. Lorsque la victime dispose de la clé de décryptage, il est fréquent que les données soient endommagées et que leur restauration soit partielle, voire impossible. Seule une victime sur deux parvient à récupérer ses données sans aucune perte. Quant à la souscription d’une assurance contre les risques dits « cyber », elle n’est pas nécessairement une solution, notamment en raison des plafonds de garanties et des exclusions. En couvrant tout ou partie du montant de la rançon, ce type de police d’assurance alimenterait en outre le cercle vicieux qui conduit à une augmentation des attaques par rançongiciel. L’étude précitée mentionne d’ailleurs une autre source (8) montrant une progression vertigineuse du montant des rançons au cours des dernières années, passant de 6.000 dollars en 2028 à 84.000 dollars en 2019, avant de doubler en 2020 pour atteinte une moyenne de 178.000 dollars ! Et rien que sur le premier trimestre 2021, le montant moyen de la rançon atteint 220.298 dollars (9). Il convient de relativiser ces chiffres au regard des montants colossaux des rançons exigées dans le cadre de certaines attaques de grande envergure, pour celles qui sont rendues publiques. Selon les estimations (10), ce fléau mondial du ransomware devrait coûter 20 milliards de dollars en 2021 et grimper à 265 milliards de dollars en 2031.
Après que des cybercriminels aient piraté son réseau informatique, paralysant les livraisons de carburant sur la côte Est des Etats-Unis, la société américaine Colonial Pipeline a ainsi déclaré avoir payé une rançon en cryptomonnaie d’un montant de 4,4 millions de dollars en mai 2021, dont 2,3 millions récupérés par la suite avec l’aide du FBI (11). En juin 2021, la société JBS USA spécialisée dans l’agroalimentaire a, elle, payé une rançon d’un montant de 11 millions de dollars aux cybercriminels qui étaient parvenus à désorganiser plusieurs sites de production aux Etats-Unis et en Australie. Les sociétés Acer et Apple ont elles aussi été frappées, avec des demandes de rançons atteignant 50 millions de dollars.
Le lutte contre les attaques par rançongiciels suppose donc d’enrayer la logique actuelle de paiement des rançons qui produit des effets pervers et entretien le cercle vicieux de la cybercriminalité. Dans ce cadre, l’Union européenne – au travers du Cybercrime Centre de l’agence Europol – a créé en 2016 l’initiative « No More Ransom » (12), dont le but est notamment d’aider les victimes des rançongiciels à retrouver leurs données chiffrées sans avoir à payer les cybercriminels.

UE et USA : « No more ransom »
En juin 2021, face à l’ampleur du phénomène et aux montants considérables des rançons, en particulier dans les secteurs stratégiques, les Etats-Unis et l’Union européenne ont également pris une initiative commune visant à coordonner leurs actions de lutte. Les objectifs annoncés comprennent notamment des mesures répressives, une sensibilisation du public aux moyens de prévention, tout en encourageant la poursuite et la répression par tous les Etats concernés, en renforçant la coopération et l’entraide internationales. Le Trésor américain, lui, a annoncé le 21 septembre 2021 qu’il prenait « des mesures robustes pour contrer les rançongiciels » (13), notamment en s’attaquant aux devises virtuelles pour le blanchiment des e-rançons. @

* Richard Willemant, avocat associé du cabinet Féral, est avocat aux barreaux de Paris et du Québec, agent de marques, mandataire d’artistes et d’auteurs, médiateur accrédité par le barreau du Québec, délégué à la protection des données (DPO), cofondateur de la Compliance League, et responsable du Japan Desk de Féral.

Pourquoi WhatsApp a écopé en Europe d’une amende ré-évaluée à 225 millions d’euros

La « Cnil » irlandaise avait proposé fin 2020 à ses homologues européennes de mettre à l’amende WhatsApp et sa maison mère Facebook à hauteur de 30 à 50 millions d’euros. « Insuffisant ! », ont-elles estimé. Leur comité européen (CEPD) leur a donné raison et la note a plus que quadruplé.

La « Cnil » irlandaise, en l’occurrence la Data Protection Commission (DPC) dirigée par la commissaire Helen Dixon (photo de gauche), a annoncé le 2 septembre 2021 avoir infligé une amende de 225 millions d’euros à la société WhatsApp pour ne pas avoir respecté le règlement européen sur la protection des données personnelles (RGPD) – un record après la condamnation d’Amazon au Luxembourg à payer une sanction pécuniaire de 746 millions d’euros pour avoir aussi enfreint ce même RGPD.

Amende administrative insuffisante
WhatsApp devrait faire appel de cette décision. La filiale de Facebook, dont le siège européen est basé à Dublin (capitale de l’Irlande), a non seulement écopé d’une amende salée mais aussi reçu une « réprimande » – autrement dit un blâme – et une injonction de se mettre en conformité avec le RGPD (1), lequel est en vigueur depuis le 25 mai 2018. C’est d’ailleurs moins de six mois après cette date d’application que la « Cnil » irlandaise avait débuté son enquête (à partir du 10 décembre 2018) sur les pratiques de WhatsApp en termes de transparence des informations devant être fournies aux utilisateurs de cette messagerie instantanée comme aux non-utilisateurs du service.
« Cela comprend les informations fournies aux personnes concernées sur le traitement des données entre WhatsApp et d’autres entreprises Facebook [le réseau social Facebook, la plateforme de partage de photos et de vidéo Instagram, ou encore la messagerie Messenger, ndlr] », a précisé la DPC qui, conformément à l’article 60 du RGPD, s’est constituée en « chef de file » des autres autorités de contrôle (visà- vis donc des autres « Cnil » dans l’Union européenne) afin de « s’effor[cer] de parvenir à un consensus » entre elles. Après des mois d’enquête, la DPC avait soumis un projet de décision en décembre 2020 à toutes ses homologues européennes. Mais faut de consensus sur les objections de huit « Cnil » sur les vingt-sept, l’autorité irlandaise a déclenché le processus de règlement de différends le 3 juin dernier. Ce mécanisme de contrôle de la cohérence peu aboutir à ce que le Comité européen de la protection des données (CEPD) – ou European Data Protection Board (EDPB) – adopte une décision contraignante, comme ce fut le cas dans l’affaire « WhatsApp ». En effet, le 28 juillet 2021, cet organe européen indépendant présidé par Andrea Jelinek (photo de droite) – successeur du groupe de travail dit « Article 29 » sur la protection des données – a rendu sa décision. Notifiée à la « Cnil » irlandaise, celle-ci a été obligée « à réévaluer et à augmenter l’amende proposée sur la base d’un certain nombre de facteurs » détaillés dans la décision contraignante. C’est ainsi que la société WhatsApp Ireland Limited s’est vu imposer une amende de 225 millions d’euros. « Le CEPD charge la DPC de fixer un montant d’amende plus élevé pour les infractions constatées, par rapport à l’amende administrative envisagée dans le projet de décision, tout en restant conforme aux critères d’efficacité, la proportionnalité et la dissuasion », a notamment exigé le comité européen. Dans son projet de sanction établi en 2020, la « Cnil » irlandaise avait calculé son amende sur la base du chiffre d’affaires combiné du groupe Facebook (Inc.) et de sa filiale WhatsApp en Irlande pour l’année se terminant le 31 décembre 2019. Elle a cependant dû revoir à la hausse le montant, étant donné que sa décision finale allait intervenir cette année, donc devant se référer au chiffre d’affaires au 31 décembre 2020 – et en tenant compte de la hausse de 15 % environ de ces revenus annuels.
Quels sont les griefs faits à WhatsApp ? Plusieurs violations du RGPD ont été constatées non seulement pas la « Cnil » irlandaise mais aussi par ses homologues européennes qui ont obtenu auprès du CEPD un durcissement de la décision finale de la DPC sur certains points :
• Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée (article 13) : le CEPD charge la DPC de « constater dans sa décision finale qu’il y a eu infraction à [fournir les informations sur les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, ndlr (2)] » sur la base des insuffisances qu’elle a identifiées.

Anonymisation des données personnelles
En outre, le CEPD exige que la DPC inclue dans sa décision finale une constatation de violation – « au lieu de formuler une simple recommandation » – de l’obligation pour WhatsApp de fournir aux personnes concernées les informations complémentaires, notamment « sur la question de savoir si l’exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données » (3) .
• Risques pour les libertés et droits fondamentaux des personnes concernées (article 4) : le CEPD conclut que le « tableau des hachures avec perte » (dans le cadre de la procédure dite de Lossy Hashing censée anonymiser les données personnelles), ainsi que les numéros de téléphone des utilisateurs associés en tant que liste de non-utilisateurs, constituent des données personnelles, et demande à la DPC de modifier son projet de décision en conséquence pour éviter un risques pour les libertés et droits fondamentaux des personnes concernées (4).

Objections et griefs des autres « Cnil »
De plus, le CEPD exige de la DPC qu’elle modifie son projet de décision « de manière à ce que le délai de six mois pour la conformité soit réduit à une période de trois mois » – à savoir a priori jusqu’au 2 décembre 2021 par rapport au 2 septembre de la décision finale.
• Principes relatifs au traitement des données à caractère personnel (article 5) : Compte tenu de la gravité, de la nature générale et de l’impact des infractions, la DPC est tenue d’inclure dans sa décision finale une constatation de violation du principe de transparence (5) selon lequel « les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ».
• Informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée (article 14) : La DPC est tenue, là aussi, de modifier son projet de décision pour tenir compte du fait que la violation de l’obligation d’informations à fournir sur le traitement des données des non-utilisateurs sous la forme de listes de non-utilisateurs après la procédure d’anonymisation des données personnelles (Lossy Hashing).
• Concernant l’amende administrative : le CEPD charge la DPC de modifier son projet de décision afin de tenir compte du chiffre d’affaires total de toutes les sociétés composant l’entreprise unique Facebook (WhatsApp, Instagram inclus) pour calculer le montant de l’amende elle-même, et considérer la date de la décision finale (2021) à partir de laquelle les revenus de l’exercice précédent (2020) devrait être considéré.
• Concernant l’amende administrative (article 83) : la DPC a été contrainte d’amender son projet de décision afin de prendre également en compte les autres infractions – en plus de l’infraction la plus grave – dans le calcul de l’amende (6), sous réserve des critères d’efficacité, de proportionnalité et de dissuasion (7). Compte tenu du chiffre d’affaires annuel global de Facebook, ainsi que des infractions constatées et des facteurs aggravants correctement identifiés par la DPC, le CEPD a estimé que l’amende administrative initiale envisagée par la « Cnil » irlandaise – à savoir entre 30 et 50 millions d’euros – n’était pas suffisante et lui a demandé de la réévaluer. Pour autant, bien que les 225 millions d’euros représentent plus de quatre fois l’amende initialement envisagée par l’Irlande et qu’elle soit la deuxième plus élevée dans les sanctions pécuniaires sur les données personnelles en Europe, la somme à payer par Facebook ne représente que… 0,08 % de son chiffre d’affaires concerné. Mais pour la firme de Mark Zuckerberg, qui avait tenté en vain de bloquer l’enquête de la « Cnil » irlandaise devant la Haute cour de justice du pays, la sanction est jugée disproportionnée. « Le RGPD prévoit des amendes allant jusqu’à 4 % du chiffre d’affaires. Cela montre à quel point la DPC est encore extrêmement dysfonctionnelle », a taclé le 2 septembre l’Autrichien Max Schrems (photo ci-dessous), président de l’organisation à but non lucratif Noyb dont il est le fondateur (8).
Cette décision contraignante (9) adoptée par le CEPD dans la torpeur de l’été (le 28 juillet 2021 donc) a non seulement été adressée à la « Cnil » irlandaise mais aussi à ses homologues de l’Union européenne. La DPC a ainsi durci et annoncé sa décision finale rectifiée début septembre (10). La DPC avait un délai d’un mois à compter de la réception de la décision contraignante pour transmettre sa décision finale corrigée à la présidente du CEPD, actuellement Andrea Jelinek. La décision contraignante et la décision finale (11) qui en découle ont été rendues publiques (12).
Ce verdict à l’encontre de Facebook-WhatsApp fera date, en Europe mais aussi dans le monde. Cela restera un cas d’école pour tous les praticiens et les garants de la vie privée. Bien d’autre plaintes sont déjà sur le bureau de la DPC. Mais Facebook n’est pas au bout de ses peines, notamment depuis que WhatsApp a annoncé en début d’année à ses 2milliards d’utilisateurs de nouvelles conditions d’utilisation permettant – depuis mi-mai (13) – des transferts de données personnelles vers le réseau social.

Les « amis » consommateurs se rebiffent
C’est sur ces nouvelles règles controversées de WhatsApp que le Bureau européen des unions de consommateurs (Beuc) et huit de ses membres – dont l’association UFC-Que Choisir en France – ont déposé plainte contre la filiale de Facebook le 12 juillet dernier auprès de la Commission européenne et du CPC, réseau européen des autorités de consommateurs (14). Le Beuc accuse le numéro un mondial des réseaux sociaux de « violations multiples des droits des consommateurs de l’UE » et de « pressions indues sur ses utilisateurs pour qu’ils acceptent ses nouvelles conditions d’utilisation et sa politique de confidentialité » (15), alors qu’elles ne sont ni transparentes ni compréhensibles pour les internautes. @

Charles de Laubier

Les cookies non-sollicités ont la vie dure, mais les sanctions pécuniaires commencent à tomber

En France, les éditeurs de sites web – au premier rang desquels une quarantaine mis en demeure en juillet par la Cnil, après une vingtaine en mai – sont censés s’être mis en conformité depuis le 6 septembre. La Grande-Bretagne, elle, tente de réhabiliter les cookies.

Permettre aux internautes et aux mobinautes de refuser les cookies aussi simplement que de les accepter. Telle est la philosophie des « Cnil » européennes, conformément à la directive sur la protection des données électroniques (ePrivacy) et le règlement général sur la protection des données (RGPD). En France, après une soixantaine de mises en demeures sur les cookies par la Commission nationale de l’informatique et des libertés (Cnil), présidée par Marie-Laure Denis (photo), les sociétés et organisations contrevenantes à la nouvelle réglementation sur les cookies avaient jusqu’au 6 septembre pour s’y conformer.

Le site web Lefigaro.fr sanctionné
Par exemple, le 27 juillet dernier, le groupe Le Figaro a été sanctionné et mis à l’amende par la Cnil – à hauteur de 50.000 euros – « en raison du dépôt de cookies publicitaires à partir du site lefigaro.fr sans recueil du consentement préalable des internautes ». Ces petits fichiers, mouchards ou témoins des « faits et gestes » des internautes enregistrés lors de leurs navigations personnelles, étaient automatiquement logés dans l’ordinateur du visiteur du site web du quotidien Le Figaro par des partenaires de la société éditrice, mais sans action de la part de cet utilisateur ou malgré son refus. Une plainte d’une utilisatrice du Figaro.fr avait été déposée le 16 août 2018 auprès de la Cnil, la plaignante faisant notamment état de l’installation de cookies sur son terminal avant toute action de sa part sur le site web du quotidien et sans recueil de son consentement. L’éditeur du Figaro a tenté de faire valoir le fait que « l’ensemble des cookies identifiés dans le rapport [de la Cnil] comme étant des cookies “internes”, c’est-à-dire déposés par les domaines du site qu’elle édite [lefigaro.fr, player-video.lefigaro.fr], sont en réalité déposés par des tiers au moyen d’un code Javascript exécuté par la page du site web de l’éditeur visitée par l’internaute ». Le Figaro a indiqué que, dans ce cas, « [elle] n’est pas au courant de l’existence de ce cookie et n’a pas le moyen d’en contrôler le dépôt ou la lecture ». La Cnil ne l’a pas entendu de cette oreille : « Plusieurs de ces cookies poursuivaient un objectif publicitaire et auraient dû être soumis au consentement de l’utilisateur », a estimé la Cnil qui a décidé de mettre à l’amende la filiale média du groupe Dassault et de rendre publique cette décision (1) – en plus d’être publiée au Journal Officiel (2). Ce non-respect des règles sur les cookies par Lefigaro.fr remontait avant l’entrée en application du RGPD européen et s’est poursuivi malgré les nouvelles lignes directrices et la recommandation de la Cnil datant du 1er octobre 2020 – faisant suite aux directives « cookies » (3) prises par cette dernière à l’été 2019 et abrogeant la recommandation de 2013.
La Cnil a estimé que le cas du Figaro, mais aussi dans de nombreuses autres affaires, que le fait que les cookies proviennent de partenaires n’affranchit pas l’éditeur de sa propre responsabilité dans la mesure où il a la maîtrise de son site web et de ses serveurs informatiques. « Cette décision s’inscrit dans le prolongement de la décision du Conseil d’Etat dite “Editions Croque Futur” du 6 juin 2018 (4), qui précisait déjà la répartition des responsabilités entre les éditeurs de site [web] et leurs partenaires », a justifié le gendarme des données personnelles et de la vie privée. Le Conseil d’Etat a en particulier jugé que « les éditeurs de site qui autorisent le dépôt et l’utilisation de tels cookies par des tiers à l’occasion de la visite de leur site doivent également être considérés comme responsables de traitement ». Entre 2020 et 2021, l’autorité administrative indépendante dit avoir signifié à ce jour environ 70 mesures correctrices – mises en demeure et sanctions – en lien avec le non-respect de la législation sur les cookies. Et que dans 60 % des cas, il s’agit de sociétés ou d’organismes « étrangers », à savoir que la société mère est établie en dehors de la France.

Amazon et Google condamnés en France
C’est ainsi que la Cnil a prononcé le 7 décembre 2020 deux sanctions sans précédente en Europe à l’encontre d’Amazon (5) et de Google (6), pour des montants respectifs de 35 et 100 millions d’euros. Le gendarme français de la protection des données personnelles a reproché aux deux géants du Net d’avoir déposé des cookies publicitaires sur les ordinateurs d’utilisateurs des sites web google.fr et de amazon.fr sans consentement préalable de ces utilisateurs ni information suffisamment claire. Comme Le Figaro et les autres récalcitrants (grandes plateformes numériques, fabricants de matériel informatique et de logiciels, sociétés de e-commerce, acteurs du tourisme en ligne, sociétés de location de véhicules, établissements bancaires, collectivités locales, fournisseur d’énergie, et même des services publics en ligne), ils ont été condamnés à une amende pour avoir violé l’article 82 de la loi « Informatique et libertés ».

La Grande-Bretagne veut des cookies !
Celui-ci impose au responsable de traitement des données, d’une part, une information claire et complète de la finalité de toute action tendant à accéder à des informations déjà stockées dans l’ordinateur de l’utilisateur et des moyens dont il dispose pour s’y opposer, et, d’autre part, un recueil préalable du consentement de l’utilisateur. Potentiellement, les amendes peuvent atteindre jusqu’à 2 % du chiffre d’affaires de l’entité condamnée pour non-conformité. La Cnil a déjà prévenu : les contrôles s’inscrivent dans la durée avec d’autres campagnes de vérifications et de mesures correctrices qui seront ainsi menées à partir de cette rentrée 2021-2022, « afin d’assurer le respect de la vie privée des internautes français ».
Au 14 septembre, sur la quarantaine d’éditeurs de sites web mis en demeure cet été, « 80 % des acteurs concernés se sont mis en conformité » – pas les 20 % restants… Et le gendarme des données personnelles, qui assume sa politique répressive, de prévenir les mauvais joueurs présents et futurs : « De nouvelles campagnes de contrôle sont en cours de préparation. Comme les précédentes, elles continueront à cibler des acteurs privés nationaux et internationaux, mais également des organismes publics dont les sites web génèrent un trafic important. Par ailleurs, une attention particulière sera portée aux sites des partis politiques en raison des élections présidentielles qui se dérouleront en 2022. Les vérifications continueront à porter sur la possibilité de refuser les cookies aussi simplement que de les accepter, mais également sur le respect effectif de ce choix » (7). Les cookies déposés sans consentement ou refus préalables sur les disques durs des ordinateurs ont donc la vie dure, tout comme ceux mis dans les mémoires de stockage des smartphones ou des tablettes.
Mais à force de vouloir protéger la vie privée des internautes, les bannières surgissantes sont devenues presque systématiques et gênent la fluidité de navigation sur le Web. Et des voix commencent à s’en plaindre. Fin août, dans une interview parue le 26 dans The Telegraph, le secrétaire d’Etat britannique au Numérique, à la Culture, aux Médias et au Sport, Oliver Dowden, il a prévenu qu’il a l’intention de supprimer les fenêtres surgissantes sans arrêt sur les écrans des visiteurs de sites web pour leur demander d’accepter ou de refuser le dépôt de cookies et, ce faisant, la permission stocker des renseignements personnels au sujet de chacun d’eux. Bien que le ministre britannique membre des conservateurs convienne que les cookies présentant « un risque élevé pour la vie privée des personnes » devront toujours recevoir un avis de consentement, il a affirmé que bon nombre de ces bannières intempestives sont « inutiles » et « devraient être supprimées ». Depuis que le Brexit est entré en vigueur le 1er janvier 2021, la Grande-Bretagne veut s’affranchir du RGPD et prépare sa propre réglementation sur la protection des données. Et l’assouplissement de l’autorisation demandée en ligne aux internautes concernant les cookies serait envisagé. Mais Oliver Dowden se veut prudent sur les intentions du gouvernement britannique dans ce domaine sensible, assurant que « nous pouvons toujours veiller à ce que des normes élevées de protection de la vie privée soient protégées » (8). Il s’agit aussi de ne pas heurter l’Union européenne, avec laquelle le Royaume-Uni a signé pour quatre ans des « accords d’adéquation sur les données » commerciales et policières. Si Bruxelles était amené à dire que Londres va trop loin dans sa réforme sur les données personnelles, une rupture de ces accords pourrait compliquer la vie des entreprises britanniques vis-à-vis de l’Europe.
Le ministre britannique se veut confiant pour la réforme à venir, prenant l’exemple de deux autres pays indépendants que sont le Japon et la Nouvelle-Zélande, dont les données sont considérées comme « adéquates » par l’Union européenne.

Noyb (Max Schrems) épingle
L’organisation autrichienne non gouvernementale Noyb (9) multiplie, elle, des actions en Europe en déposant des centaines de plaintes devant la justice de plusieurs pays européens contre des sites web contrevenant aux règles du RGPD sur le dépôt ou pas des cookies via une bannière simplifiée et sans ambiguïté. C’est oui ou bien c’est non.
Le 10 août dernier, Noyb a officiellement déposé 422 plaintes sur les 10.000 sites web mis sous surveillance. « Certains acteurs majeurs comme Seat, Mastercard ou Nikon ont instantanément changé leurs pratiques, s’est félicité Max Schrems, président de la Noyb (10). Cependant, de nombreux autres sites web n’ont cessé que les pratiques les plus problématiques. Par exemple, ils ont peut-être ajouté une option de “rejet”, mais celle-ci reste difficile à lire ». @

Charles de Laubier

Après Facebook et Apple, Noyb – cofondée par l’Autrichien Max Schrems – s’attaque à Google

L’organisation Noyb indique à Edition Multimédi@ que « le plaignant français » (en fait plusieurs plaintes de Français) a reçu le 9 avril un e-mail de la Cnil lui confirmant la réception le 6 avril de sa plainte contre Google, accusé de le suivre sans son consentement via des « cookies » AAID.

« Nous ne connaissons pas l’étape de la procédure, mais nous savons que le plaignant [en fait plusieurs plaintes de Français épaulés par Noyb, ndlr] a reçu une confirmation de réception le jour du dépôt et il a reçu un autre courriel le 9 avril confirmant que la plainte avait été attribuée au “service des plaintes de la Cnil (1)” », nous a précisé une porte-parole de l’organisation cofondée en 2017 par l’Autrichien Maximilian Schrems (photo), tout en nous confirmant que « le plaignant est un citoyen français ». De son côté, la Cnil a répondu à Edition Multimédi@ qu’elle est « en train d’étudier la recevabilité des plaintes reçues par ce biais » – à savoir en « m[ettant] un “modèle” de plainte sur son site ».

Eviter l’Irlande via la directive « ePrivacy »
L’Android Advertising Identifier (AAID) est à Google ce que l’Identifier for Advertisers (IDFA) est à Apple. Ce sont des traceurs qui permettent, une fois déposés sous forme de « cookies » dans les terminaux des Européens, de les suivre à la trace justement dans leurs navigations sur le Web ou sur les applications mobiles, tout en capitalisant sur leurs comportements de visiteurs et de consommateurs à des fins de ciblages publicitaires et marketing. Comme pour l’IDFA d’Apple sur les terminaux sous iOS, l’AAID de Google est, selon Noyb, « un code de suivi non autorisé installé illégalement sur les téléphones Android ». Cinq moins après avoir déposé plainte – le 16 novembre 2020 – contre Apple et son traceur installé sous forme de cookies dans les terminaux iOS des utilisateurs européens, et sans leur consentement préalable pourtant rendu obligatoire par la directive européenne « ePrivacy » de 2002 (modifiée en 2006 et 2009), l’organisation Noyb (2) a de nouveau porté plainte le 6 avril dernier, mais cette foisci contre Google et son traceur du même genre. Alors que la plainte contre la marque à la pomme avait été déposée à la fois auprès de la « Cnil » allemande, le BfDI (3), et auprès de la « Cnil » espagnole, la AEPD (4), la plainte contre l’éditeur du système d’exploitation Android a, elle, été adressée à la Cnil en France (5). Dans ces deux affaires, « Apple/IDFA » et « Google/AAID », Noyb attaque les deux géants du numérique sur le fondement de la directive « ePrivacy » concernant le « traitement des données à caractère personnel et protection de la vie privée dans le secteur des communications électroniques » (6). Car, selon l’organisation autrichienne, la directive sur la protection des données électroniques (ePrivacy) prévaut juridiquement sur le règlement général sur la protection des données (RGPD). Mais la directive présente un double avantage sur le règlement. D’une part, l’article 5.3 de la directive prévoit clairement que « les Etats membres garantissent que l’utilisation des réseaux de communications électroniques en vue de stocker des informations ou d’accéder à des informations stockées dans l’équipement terminal d’un abonné ou d’un utilisateur ne soit permise qu’à condition que l’abonné ou l’utilisateur, soit muni, (…) d’une information claire et complète, entre autres sur les finalités du traitement, et que l’abonné ou l’utilisateur ait le droit de refuser un tel traitement par le responsable du traitement des données ». Chaque Etat membre de l’Union européenne (UE) a transposé en droit national cette disposition, comme en France dans la loi « Informatique et libertés ».
D’autre part, la directive « ePrivacy » permet à la « Cnil » nationale d’être compétente pour contrôler et sanctionner les pratiques dans le dépôt cookies et le recueil préalable du consentement des utilisateurs. Alors que si le plaignant de Noyb s’était appuyé sur le règlement RGPD, l’instruction de la plainte et ses éventuelles sanctions auraient dû être confiées à la « Cnil » en Europe considérée comme l’autorité « chef de fil » car relevant du pays européen où la plateforme numérique en question est basée. En l’occurrence, Apple et Google ont leur quartier général européen en Irlande – le premier à Cork, le second à Dublin. Cela aurait dû être alors à la « Cnil » irlandaise, en l’occurrence la Data Protection Commission (DPC), d’instruire les deux affaires.

Le terminal personnel doit être sanctuarisé
Mais Max Schrems a voulu éviter d’en passer par l’Irlande où, comme il l’a affirmé à l’AFP le 21 avril, « 99,9% des dossiers sont tout simplement jetés à la poubelle » ! De plus, pour pouvoir mettre à l’amende Apple et Google, il aurait fallu s’accorder avec tous les pays de l’UE dans lesquels ces entreprises sont présentes. Ce qui est loin d’être gagné d’avance. Alors qu’en utilisant l’article 5.3 de la directive « ePrivacy », comme l’a déjà fait la Cnil en France (où il a été transposé dans la loi « Informatique et libertés ») pour sanctionner financièrement en décembre dernier Amazon (35 millions d’euros) et Google (100 millions d’euros) pour infraction aux règles sur les cookies (8), chaque « Cnil » est compétente sur son territoire pour contrôler et sanctionner.
Le considérant 24 de la directive « ePrivacy » est on ne peut plus clair sur l’extension du domaine de la vie privée des internautes et mobinautes : « L’équipement terminal de l’utilisateur d’un réseau de communications électroniques ainsi que toute information stockée sur cet équipement relèvent de la vie privée de l’utilisateur, qui doit être protégée au titre de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales ».

Série d’affaires, de « Schrems 1» à « Schrems 4»
Et le législateur européen d’enfoncer le clou pour mettre en garde les plateformes numériques, réseaux sociaux et autres sites web : « Or, les logiciels espions, les pixels invisibles (web bugs), les identificateurs cachés et les autres dispositifs analogues peuvent pénétrer dans le terminal de l’utilisateur à son insu afin de pouvoir accéder à des informations, stocker des informations cachées ou suivre les activités de l’utilisateur, et peuvent porter gravement atteinte à la vie privée de ce dernier. L’utilisation de tels dispositifs ne devrait être autorisée qu’à des fins légitimes, et en étant portée à la connaissance de l’utilisateur concerné ». Tout est dit. L’article 5.3, lui, va ainsi règlementer deux types de traitement : le stockage d’informations ou l’accès à des informations déjà stockées dans l’équipement terminal de l’utilisateur. L’organisation de Max Schrems part du principe que la directive « ePrivacy » est technologiquement neutre (confortée par un avis du groupement des « Cnil » européennes, le G29, en avril 2012) et considère que l’AAID de Google comme l’IDFA d’Apple sont « très similaire[s] à un identifiant de traçage présent dans un cookie de navigation ».
Ainsi, l’éditeur d’Android et le fabricant d’iPhone – voire des tierces parties telles que les fournisseurs d’applications mobiles – peuvent chacun de leur côté « accéder l’information stocker dans l’équipement terminal de l’utilisateur » et « ceci peut être utilisé afin de déterminer les préférences de l’utilisateur associées avec son [AAID ou IDFA] afin d’afficher des annonces pertinentes sur d’autres applications ou même sur des pages de site web non liés ». Ces affaires « Apple/IDFA » et « Google/AAID », que l’on pourrait surnommer les affaires, respectivement « Schrems 3 » et « Schrems 4 », interviennent après les deux précédentes affaires judiciaires initiées et remportées par Max Schrems. Avant qu’il ne crée Noyb, ce jeune homme (actuellement 33 ans) s’était fait connaître en portant plainte, en tant que citoyen autrichien, contre Facebook accusé de transférer les données personnelles de ses utilisateurs européens vers les Etats-Unis. Ce qui a amené la Cour de justice de l’Union européenne (CJUE) à invalider en 2015 le « Safe Harbor », lequel autorisait depuis l’année 2000 le transfert des données personnelles des citoyens européens vers les Etats-Unis sous certaines conditions. C’était l’affaire « Schrems 1 » (9), laquelle a propulsé Max Schrems audevant de la scène médiatique face à Facebook. Le « Safe Harbor » annulé (10), celui-ci a été remplacé en 2016 par le « Privacy Shield » malgré un avis mitigé à l’époque du groupement des « Cnil » européennes (11), dit « Article 29 » ou G29 – devenu le Comité européen de la protection des données (CEPD).
Fort de son premier succès à l’encontre du « Safe Harbor », Max Schrems a encore porté plainte, contre cette fois le « Privacy Shield », ce « bouclier de la vie privée » ou « bouclier des données » qui permettait aux Etats-Unis d’être considérés comme un pays ayant un niveau de « protection adéquate » par la Commission européenne pour les transferts de données à caractère personnel vers des organisations américaines auto certifiées. Là aussi la CJUE a eu à se prononcer et, le 16 juillet 2020, à l’invalider à son tour au regard cette fois des exigences découlant du RGPD et à la lumière des dispositions de la Charte des droits fondamentaux de l’Union européenne garantissant le respect de la vie privée et familiale, de la protection des données personnelles et du droit à une protection juridictionnelle effective (12). C’est l’affaire « Schrems 2 » (13) qui a renforcé la légitimité de Max Schrems (14) face à la firme de Mark Zuckerberg. Avec une quinzaine de personnes travaillant pour elle, l’organisation à but non lucratif Noyb, surnommée European Center for Digital Rights et basée à Vienne, ne se limite pas à ces affaires emblématiques puisque plus d’une centaine de recours l’occupent actuellement.

Données de localisation : « Schrems 5 » ?
Par exemple, Noyb a porté plainte en juin 2020 sur la base du RGPD contre l’opérateur mobile A1 Telekom en Autriche pour manque de transparence sur les données de géolocalisation collectées auprès de ses mobinautes. « Où étiez-vous ? Ça ne vous regarde pas ! ». En Australie cette fois, l’autorité de la concurrence ACCC a d’ailleurs pour la première fois au monde sanctionné le 16 avril Google pour avoir « induit les consommateurs en erreur au sujet de la collecte et de l’utilisation des données de localisation » (15). Il y a matière pour une affaire « Schrems 5 »… @

Charles de Laubier

Vie privée et télétravail : la consécration des VPN

En fait. Le 5 mai, la fondation Mozilla – créée dans la foulée du développement il y a vingt ans du navigateur Firefox – a rendu disponible en France sa solution de réseau privé virtuel, Mozilla VPN, pour permettre aux internautes de sécuriser et de masquer leurs connexions à Internet et de ne pas être géolocalisés.

En clair. Les VPN – Virtual Private Network – sont plus connus par les internautes des pays autoritaires ou dictatoriaux qui pratiquent la censure de contenus en ligne et les blocages d’accès à des plateformes étrangères. Mais échaudés par les atteintes en ligne à leur vie privée, le pistage de leurs navigations et géolocalisations à des fins publicitaires (sans parler des cookies), voire la fuite de leurs données personnelles, les internautes des pays démocratiques sont de plus en plus demandeurs de VPN. Le sigle fait même son entrée dans le Larousse 2022 !
« Pour vivre heureux vivons cachés » est le nouveau credo du Web, dont les connexions sécurisées « https » ne suffisent pas. Le VPN est une sorte de camouflage numérique et de bouclier en ligne, qui offre une sécurisation par chiffrement des données et masque l’adresse IP de l’internaute (une de ses données personnelles) pour ne pas être détecté, pisté ou identifié. Pratiqué de longue date par les technophiles, les réseaux privés virtuels se démocratisent au fur et à mesure que les offres de VPN grand public faciles d’utilisation sont proposées (NordVPN, IPVanish, Cyberghost VPN, Surfshark, etc). Et ce, moyennant paiement sur un mois (de 5 à 12 euros) ou sur six à trois ans (de 2 euros à 10 euros par mois selon la durée de souscription). Pour Mozilla VPN lancé le 5 mai en France et en Allemagne (1), les tarifs sont de 9,99 euros pour un mois, 6,99 par mois sur six mois ou de 4,99 euros pour douze mois (2). L’utilisation du navigateur Firefox n’est pas nécessaire, mais un compte Mozilla si. La fondation californienne à but non lucratif s’appuie pour cela sur la société suédoise Amagicom qui opère un réseau mondial de 750 serveurs (dans 30 pays) fonctionnant sur leur solution open-source de VPN, Mullvad, et sécurisé de bout-enbout (3) par le protocole de cryptage WireGuard. « Surfez, jouez, travaillez et streamez tout en préservant votre confidentialité sur Internet », promet la fondation Mozilla.
Depuis mars 2020, confinements successifs oblige, la Cnil (https://lc.cx/Cnil-VPN) et l’Arcep (https://lc.cx/Arcep-VPN) recommandent d’utiliser des VPN pour télétravailler ou se former en distanciel, et « éviter l’exposition directe sur Internet » (dixit la Cnil). Mais attention, « la combinaison de celui-ci [le VPN de l’employeur] avec votre Wifi peut engendrer un débit ralenti » (dixit l’Arcep). @