Début d’année compliqué pour la branche EMEA de Yahoo. Constatant des violations répétées du RGPD, la CNIL a infligé une amende record de 10 millions d’euros à la société pour ne pas avoir respecté le choix des internautes qui refusaient les cookies sur son site « Yahoo.com » et ne pas avoir permis aux utilisateurs de sa messagerie « Yahoo! Mail » de librement retirer leur consentement aux cookies. On fait le point.
De nombreuses failles et une fuite d’emails personnels
L’autorité française de protection des données, la CNIL, a infligé à Yahoo! une amende coercitive de 10 millions d’euros pour de nombreuses violations du Règlement Général sur la Protection des Données (RGPD).
Les infractions ont été découvertes à l’issue d’une enquête approfondie de la CNIL, révélant l’incapacité de Yahoo! à mettre en place des mesures de sécurité adéquates pour protéger les données des utilisateurs.
Ces manquements ont d’ailleurs conduit à un accès non autorisé massif aux données des utilisateurs par des pirates informatiques issus de plusieurs pays non-européens. En plus des données personnelles, le contenu des emails des utilisateurs a semble-t-il lui aussi fuité.
Des protocoles de sécurité étonnamment faibles pour Yahoo!
La CNIL a par ailleurs reproché à Yahoo! l’absence de mesures techniques et organisationnelles appropriées pour garantir la sécurité des données personnelles, comme l’exige le RGPD. Les systèmes de Yahoo! présentaient des lacunes majeures au niveau des protocoles de sécurité, rendant les données des utilisateurs vulnérables aux cyberattaques les plus basiques. De plus, les utilisateurs du service de messagerie de Yahoo! se sont vu refuser la liberté de retirer leur consentement concernant les cookies, aggravant ainsi le problème et exacerbant l’amende infligée par l’autorité de contrôle.
Selon la CNIL, cette amende importante est un rappel aux entreprises sur l’importance capitale de respecter les normes strictes de protection des données établies par le RGPD. Le règlement exige des pratiques rigoureuses en matière de sécurité des données et un signalement rapide des violations, ce que n’a pas fait Yahoo!.
Le non-respect peut entraîner des amendes conséquentes et un dommage important à la réputation des entreprises en question. Yahoo! affirme examiner la décision de la CNIL « pour déterminer les suites à donner », y compris l’éventualité de faire appel.
La décision de la CNIL peut être consultée ici.