Aujourd’hui encore, la protection des données personnelles reste une exigence floue pour l’utilisateur classique, non-averti, qui y accorde peu d’importance. Pourtant, une majeure partie des traitements, dont les plus sensibles, reposent sur le consentement de l’utilisateur. Pour cause, beaucoup ne saisissent pas de quelle manière leurs données peuvent revêtir une importance. Pourtant, différents événements témoignent avec brutalité les conséquences d’une mauvaise protection. Le scandale d’Ashley Madison en constitue un exemple révélateur.
Une plateforme fondée sur la promesse de discrétion
Ashley Madison est une plateforme de rencontre ayant pour spécificité d’être destinée aux personnes déjà engagées dans une relation, autrement dit : un site dédié aux relations extraconjugales. À ce titre, la plateforme se revendique comme garante de confidentialité, notamment grâce au chiffrement d’une partie des données. Ce procédé cryptographique rend la lecture impossible aux personnes qui ne disposent pas de la clé de déchiffrement.
Cette protection n’a pourtant pas empêché les pirates “The Impact Team”, moralement heurtés par la ligne directrice du site, de dévoiler les données de plus de 36 millions de comptes après que le site ait refusé de céder à leur chantage de fermeture.
Des défauts de sécurité à l’origine du piratage
Selon une enquête conjointe d’autorités de protection de la vie privée, les données personnelles auraient été compromises auprès d’un partenaire de la plateforme chargé du traitement des paiements. Le transfert de données, pourtant crucial, demeure un point de vulnérabilité trop souvent négligé. Plusieurs manquements à la protection des données personnelles ont été identifiés : absence de durée de conservation définie, suppression conditionnée à paiement, et qui demeure tardive.
De surcroît, l’enquête révèle que “des clés de chiffrement étaient également stockées sous forme de texte clair nettement identifiable sur les systèmes” : une pratique facilitant nettement un piratage. À cela s’ajoutent le manque de formation du personnel à la sécurité et l’absence d’un cadre général, indispensable à une gouvernance technique et organisationnelle.
Ainsi, l’implémentation de techniques pourtant robustes est discréditée : la cybersécurité doit être envisagée de manière transversale. Elle constitue un pilier de la protection des données personnelles.
Un scandale numérique aux conséquences bien réelles
Une divulgation de données personnelles peut entraîner de nombreux risques : atteinte à la vie privée, à la réputation, vulnérabilité face aux personnes mal intentionnées (menace physique, chantage…), chamboulements dans la vie familiale et professionnelle, sentiment d’insécurité, voire implications pénales…
Si cette fuite peut échapper à l’attention des familles, tel n’est pas le cas des personnes mal intentionnées : la simple présence sur ce site peut s’avérer compromettante et des tentatives d’extorsion peuvent en résulter. Et ce, encore davantage quand la plateforme invite ses utilisateurs à renseigner leurs fantasmes sexuels ; associées évidemment aux informations personnelles traditionnelles. En somme, les conséquences sont de toutes sortes : financières, physiques, sociales et morales.
Un suicide est venu concrétiser, de manière tragique, l’ampleur de ces atteintes; et il n’est peut-être pas le seul.
Le Monde souligne une interrogation pertinente : “Quid, par exemple, du millier d’utilisateurs du site qui se sont inscrits avec une adresse email en .sa – l’extension de l’Arabie saoudite – un pays où l’adultère peut être puni de coups de fouet ?”. Une fois publiées, ces données échappent à tout contrôle, quiconque peut s’en emparer.
Ces cas marquent l’importance que revêtent les données personnelles, et ce particulièrement dans un domaine relevant de l’intime, inévitablement lié à des aspects précieux de la vie privée. Un traitement de données personnelles mal structuré peut engendrer des conséquences lourdes dans la vie d’un individu. Plus encore, cette menace ne pèse pas que sur les utilisateurs du service : l’absence de vérification des adresses e-mail par la plateforme, en contradiction avec le principe d’exactitude des données personnelles, a conduit à l’exposition de personnes qui n’avaient aucun lien avec le site.
De manière plus générale, les atteintes ne sont pas limitées à une perspective individuelle, mais peuvent exposer un groupe, les minorités étant particulièrement inquiétées.
Laeticia ESCHLIMANN
M2 Cyberjustice – Promotion 2024/2025
Sources :
- Rapport de conclusions d’enquête, enquête conjointe sur Ashley Madison menée par le commissaire à la protection de la vie privée du Canada et le commissaire à la protection de la vie privée/commissaire à l’information par intérim de l’Australie, Commissariat à la protection de la vie privée du Canada, 2016
- D. Leloup, Piratage d’Ashley Madison : qui sont les vraies victimes ?, Le Monde, 2015
- Ashley Madison : le dramatique bilan du piratage du site de rencontres extraconjugales, TF1 INFO, 2015
- Image : DC Studio, Freepik
