Faille de sécurité: Google confronté à plusieurs enquêtes pour avoir caché l’incident
Avec notre partenaire PLEO, ne perdez plus de temps avec les notes de frais!
Google devrait faire face à plusieurs enquêtes, aux États-Unis et en Europe, à la suite de la faille de sécurité qui a exposé les données personnelles d’un demi-million de comptes Google+. Ce n’est pas la fuite des données en elle-même qui poussent les régulateurs à enquêter, mais le fait que Google, au courant depuis mars, ait choisi de garder le silence pendant plus de six mois.
Pour rappel, via cette faille, certains développeurs tiers pouvaient avoir accès aux données personnelles d’utilisateurs de Google+. Dans dans sa note de blog annonçant l’incident et l’arrêt de Google+, la firme de Mountain View explique avoir immédiatement colmaté la faille, et surtout s’explique sur les raisons de son silence.
Les raisons du silence: où est la vérité?
Les raisons invoquées sont la nature des informations dévoilées (nom, e-mail, profession, sexe, âge), l’absence d’utilisation inappropriée des données exposées et le fait qu’il n’était pas possible de déterminer avec précision quels utilisateurs informer. Mais d’après des informations obtenues par le Wall Street Journal, les réelles motivations de Google auraient été un peu moins « professionnelles ». Un mémo interne révèlerait ainsi que l’entreprise craignait en fait d’attirer l’attention des régulateurs et redoutait un traitement identique à celui réservé à Facebook. Et cela se tient. Au mois de mars, Mark Zuckerberg était en effet pris en plein dans la tempête Cambridge Analytica.
La Federal Trade Commission appelée à réagir
En tout cas, les explications de Google ne semblent pas avoir convaincu tout le monde. Et c’est notamment le cas de Richard Blumenthal, sénateur démocrate du Connecticut. Ce dernier a envoyé une lettre à la FTC (Federal Trade Commission), co-signée par deux autres sénateurs, demandant à l’organisme de lancer une enquête sur la décision de Google de garder la faille secrète pendant plusieurs mois. « La FTC devrait procéder à un examen approfondi pour déterminer si l’incident Google+ constitue une violation du décret de consentement de l’entreprise ou d’autres engagements, et plus généralement pour déterminer si Google s’est livré à des actes et pratiques trompeurs en matière de vie privée« , indique la lettre.
Plusieurs enquêtes seront lancées en Europe
L’action du sénateur a aussi permis d’en savoir plus sur les intentions de l’Europe à ce sujet. Ce dernier a profité d’une audience du Sénat sur la confidentialité des données, mercredi, pour interroger Andrea Jelinek, présidente du Comité européen de la protection des données, sur les intentions de l’Union européenne. Andrea Jelinek a confirmé que les régulateurs européens des données enquêtaient sur la question. En revanche, Google passe cette fois-ci sous le radar du Règlement général sur la protection des données, la faille ayant été découverte en mars, donc avant l’entrée en vigueur du RGPD. Ainsi, il n’y aura pas une seule enquête, mais plusieurs seront conduites par différents organismes de protection des données en Europe, dont les régulateurs d’Hambourg et d’Irlande.
« Nous nous sommes engagés à demander des comptes aux entreprises »
Du côté de la FTC, celle-ci a déclaré qu’elle ne pouvait pas s’exprimer sur des enquêtes en cours mais a tenu à réaffirmer sa volonté de faire respecter la protection des données des utilisateurs. « Lorsque nous constatons une brèche importante mettant en péril les données privées des consommateurs, vous pouvez être assuré que nous l’examinerons. Nous nous sommes engagés à demander des comptes aux entreprises si leurs pratiques enfreignent la loi ».
Pour rappel, en 2012, Google avait déjà été inquiété par la FTC et avait dû lui verser 22,5 millions de dollars dans le cadre du suivi non autorisé des internautes utilisant le navigateur web Safari.
