Le 14 décembre dernier, le directeur de l’ingénierie de Facebook, Tomer Bar, annonçait une faille de sécurité du réseau social.

La faille s’est produite du 13 au 25 septembre 2018 du fait d’un bug qui a concerné les fonctions de partage de profil Facebook avec 1500 applications.

L’étendue de la faille: “The bug also impacted photos that people uploaded to Facebook but chose not to post.”

Selon le communiqué de Facebook, il s’agit d’un bug qui, au lieu de partager uniquement les informations et les photos publiées sur le profil, rendait accessibles les photos téléchargées sur le réseau social sans être publiées.

Une perte de connexion, une publication embryonnaire, l’interruption du partage de la publication, sont autant de circonstances donnant lieu à une copie de la photo à publier. Cette copie conservée trois jours, a donc été exposée par ce bug. Les utilisateurs ont donc donné accès à leur contenu publié, et au contenu non publié, copié par le réseau social.

Les critères de conformité d’une déclaration.

L’article 10.1 de la Loi sur la protection des renseignements personnels et les documents électroniques (ci-après « LPRPDE ») oblige une organisation à déclarer une faille de sécurité.

Cette déclaration s’effectue selon les modalités prévues à l’article 2 du Règlement sur les atteintes aux mesures de sécurité DORS/2018-64 (ci-après « le Règlement »).

Un récapitulatif des obligations d’une organisation en cas d’atteinte aux renseignements personnels est à cet effet disponible sur le site de La Gazette du Canada.

Ainsi, dans l’hypothèse où des utilisateurs ou résidents du Canada seraient concernés par le bug de Facebook, l’entreprise doit se soumettre aux obligations suivantes :

• Une évaluation de la probabilité que de l’atteinte constitue « un risque réel de préjudice grave ». Il s’agit ici d’évaluer la sensibilité des photos concernées ainsi que les effets d’une utilisation à mauvais escient.
• Aviser dans les délais les plus courts le Commissariat à la protection de la vie privée du Canada, ainsi que les individus concernés.
• « Aviser toute autre organisation susceptible de pouvoir atténuer le risque de préjudice aux intéressés ». En l’espèce, il s’agit des 876 développeurs des 1500 applications liées à la fuite des données.
• « Tenir un dossier de toute atteinte à la protection des données dont l’organisation est au courant et le fournir au commissaire à sa demande. »

En l’espèce, les avis aux utilisateurs concernés se feront par le biais de notifications par le biais de leur compte.

Au titre des mesures correctrices, Facebook s’est engagé à proposer des outils à destinations desdits développeurs, qui leur permettront de rectifier les conséquences de la fuite des données.

Une déclaration de Facebook incomplète ?

Si la date et la durée de la fuite ont été communiqués, il n’en n’est rien s’agissant des zones géographiques concernées.

Au regard de la LPRPDE, se pose la question du contrôle de la procédure de déclaration. Les délais entre la connaissance de la faille et la déclaration de ce vendredi sont-ils conformes à l’article 10.1 LPRPDE ?

Bien que la Commission de Protection des Données irlandaise ait ouvert une enquête, il semble difficile de déterminer si les homologues canadiens ou européens sont également concernés, à la simple lecture de la déclaration de Tomer Bar.

Enfin, le communiqué de M. Bar n’indique pas non plus la date de la connaissance de cette faille de sécurité. Or, au Canada comme en Europe, le délai entre la date de la connaissance de la faille et celle de la divulgation de celle-ci, constituent des critères déterminant si l’organisation a géré raisonnablement la fuite des renseignements personnels.

En de détails de la part de Facebook, les différentes autorités intervenant dans la protection des renseignements personnels devront probablement ouvrir des enquêtes afin d’éclaircir la portée de cette nouvelle fuite.

Peut-être serait-ce ici l’occasion de rappeler aux justiciables la procédure à suivre en cas d’atteinte à leur renseignements personnels.