La CNIL a prononcé une sanction pécuniaire d'un montant de 50 000 € à l'encontre de la société Dailymotion pour une atteinte à la sécurité des données des utilisateurs inscrits sur sa plateforme d’hébergement de contenus vidéo.

Un article de presse datant de décembre 2016 relatait une importante fuite des données relative à la plateforme Dailymotion. Il s’agissait d’une d'une attaque informatique menée en plusieurs étapes et a concerné́ 82,5 millions d’adresses emails ainsi que 18,3 millions de mots de passe chiffrés. Cette information a été transmise par la société Dailymotion au cours d’un contrôle dans ses locaux.

Les informations transmises par la société font apparaître que les attaquants sont parvenus à̀ accéder aux identifiants d’un compte administrateur de la base de données de la société́, stockés en clair sur la plateforme collaborative de développement « Github ». Ils ont ensuite exploité une vulnérabilité trouvée dans le code de la plateforme Dailymotion sur « GitHub ». Cette vulnérabilité leur a permis d’utiliser le compte administrateur pour accéder à distance à la base de données de la société et extraire les données personnelles des utilisateurs.

La CNIL a prononcé à l’encontre de la société une sanction pécuniaire de 50 000 euros sur le fondement de l’article 34 de la loi Informatique et Libertés. Cet article prévoit que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

Des décrets, pris après avis de la Commission nationale de l'informatique et des libertés, peuvent fixer les prescriptions techniques auxquelles doivent se conformer les traitements mentionnés au 2° et au 6° du II de l'article 8».

La CNIL a considéré que la société a méconnu son obligation de sécurité au sens dudit article. Elle estime que l’attaque aurait pu être évitée si la société avait pris des mesures élémentaires de sécurité.

Elle a par ailleurs souligné que :
« - la société n’aurait pas dû stocker en clair au sein de son code source des identifiants relatifs à un compte administrateur ;
- dans la mesure où des personnes extérieures à la société étaient amenées à se connecter à distance au réseau informatique interne, elle aurait dû encadrer ces connexions par un système de filtrages des adresses IP ou un réseau privé virtuel (VPN). »