Equifax est un « credit bureau », qui permet (en résumé) aux entreprises de vérifier la solvabilité de leurs clients ou prospects et aux citoyens de connaître leur score de crédit et de faire des simulations sur le crédit consommateur auquel ils peuvent prétendre (cf equifax.com pour plus de détails).
Nous incluons ici 2 paragraphes extraits de leur website :
« Our Story
Our data assets, technology and analytics transform knowledge into insights that power better decisions. This knowledge enables our customers to make better business decisions and consumers to progress towards a better life.
We serve as a consumer advocate, steward of financial literacy, and champion of economic advancement. As an innovative global information solutions company that enables access to credit, we’re part of breakthrough collaborations and innovations that address complex social challenges such as social welfare, community relations and financial education for underprivileged youth.
We establish relationships that create economically healthy communities. We help individuals gain financial independence by increasing access to capital and micro-lending for small businesses. And we provide young adults entering college or university with financial education tools.
Every day, around the globe, we are Powering the World with Knowledge.
Our Value
Over the last decade, we have developed the best and most unique data in the world to help businesses make the right decisions for their customers. Coupled with our leading analytics capabilities, we deliver the knowledge that enables Equifax to provide our customers with better insights, greater flexibility, and faster time to market. At the same time, we’re also helping consumers by providing the personal information, education, and tools they need to make better financial decisions. »
Equifax a été victime d’une cyber-attaque qui a permis aux hackers d’avoir accès à des informations confidentielles et personnelles (nom, adresse, date de naissance, numéro de sécurité sociale, plaque d’immatriculation,…, et pour certains, numéro de carte de crédit) de … 143 millions d’Américains (ainsi que 44 millions de Britanniques).
https://www.ft.com/content/bf04768c-9e1b-11e7-8cd4-932067fbf946
Un résumé des événements :
– De mi-mai à juillet 2017 : La période durant laquelle des Hackers ont eu accès, via des intrusions dans le système de l’entreprise, aux données confidentielles de clients d’Equifax.
– Jeudi 29 juillet : Equifax se rend compte de l’intrusion et la stoppe immédiatement.
– Mardi 1er août et Mercredi 2 août : 3 « top executives » vendent pour 2 M $ d’actions de Equifax.
– Jeudi 07 septembre : Equifax avertit le public de la situation (nommée avec euphémisme « cybersecurity incident ») et met à la disposition du public un site dédié pour que chacun puisse vérifier si il/elle a été affecté(e) par le vol de données. L’entreprise publie également un communiqué indiquant que les 3 « top executives » n’avaient pas connaissance de l’intrusion au moment de la vente d’actions. https://www.equifaxsecurity2017.com/
Le cours de l’action d’Equifax est passé de $142.72 la veille de l’annonce à $96 le 20 Septembre. Certains analystes estiment que l’action va encore perdre 50%.
http://www.marketwatch.com/investing/stock/efx
Plus de 50 plaintes (class-actions) ont été déposées aux USA contre Equifax et il existe même des sites web qui aident les particuliers à enregistrer leurs plaintes.
Voici maintenant nos observations sur ce qui aurait été souhaitable dans le cadre du GDPR :
Le contexte :
Cette affaire intervient dans un contexte de relations entre l’Union Européenne et les Etats-Unis relativement tendues.
En effet, les négociations sur le Privacy Shield se sont ré-ouvertes le 18 septembre dernier, or la question de la sécurisation des données et de leurs notifications aux autorités est un point clef pour les européens.
Plusieurs parties prenantes (Le Conseil National du numérique (CNnum) en France a appelé à une renégociation de l’accord Pirvacy Shield) considèrent que les garanties apportées par les Etats-Unis ne sont pas suffisantes, une telle affaire pourrait accorder du crédit à leurs hypothèses.
GDPR : gestion des failles de sécurité :
Par ailleurs, le Règlement général sur la protection des données personnelles qui va rentrer en vigueur le 25 mai 2018 pourrait potentiellement s’appliquer à une telle entreprise dans la mesure ou des données de citoyens européens sont traitées.
Le Règlement fait de la question de la sécurité des traitements, un axe phare du nouveau cadre juridique en matière de protection des données personnelles.
En matière de faille de sécurité, le nouveau Règlement va contraindre toutes les entreprises à les notifier aux autorités ainsi qu’aux personnes dont les données sont visées.
Pour ce qui est des autorités la notification doit se faire au plus tard dans les 72 heures ou le responsable de traitement en a pris connaissance. Dans le cas d’espèce Equifax a attendu plus d’un mois pour communiquer.
Pour ce qui est des personnes concernées le texte vise les meilleurs délais, dans la mesure où la faille est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physique. Dans le cas d’Equifax, et d’une solution de crédit scoring il n’y a nul doute que les données qui ont été hackées seraient considérées comme telles.
Impact Financier du GDPR :
Le Règlement prévoit des sanctions allant jusqu’à 4% du CA mondial de l’entreprise et ouvre la possibilité aux Etats membres d’introduire des actions de groupe dans leurs législations nationales. Cela a été consacré en France avec la loi justice au XXIème siècle du 18 novembre 2016, introduisant un article 43 ter à la loi du 6 janvier 1978.
Une « amende-GDPR » de 4% du CA d’Equifax couterait $125 mio à l’entreprise. C’est beaucoup, mais bien inférieur à la baisse de capitalisation boursière, qui, entre le 6 Septembre (veille de l’annonce) et le 20 Septembre, représente près de 8,5 Milliards de USD!
Le prix de la réputation n’a pas de prix.
Ainsi au-delà des questions financières qui sont relancées par cette affaire, des impacts potentiels en matière de protection des données sont à prévoir, dans un contexte de tensions certain.