Pourquoi LastPass pourrait risquer une amende de 20 millions dans le cadre du RGPD ?

Le gestionnaire de mots de passe américain LastPass, qui aurait été victime d'une cyberattaque récemment, se voit en plus reprocher de possibles manquements au RGPD.

Sur Reddit, un utilisateur mécontent de la politique tarifaire de LastPass a mené sa petite enquête et dénoncé, dans un article repris par certains médias américains, la façon dont le logiciel tiendrait les données de ses utilisateurs « en otage ». Il fait peser de nombreux griefs sur LastPass en matière de données personnelles, indiquant même que le gestionnaire de mots de passe violerait le Règlement général sur la protection des données (RGPD).

Un blocage de l'exportation des mots de passe qui pousserait à utiliser la version payante de LastPass

L'utilisateur nametaken_thisonetoo accuse LastPass, arguments à l'appui, de mettre en place toute une stratégie visant à empêcher les utilisateurs souhaitant quitter l'outil d'exporter leur banque de mots de passe pour les récupérer, sous prétexte qu'ils utilisent une version gratuite du gestionnaire. Sauf que ces mots de passe équivalent ici à des données personnelles.

Sur le subreddit r/software, l'utilisateur explique que la fonction d'exportation se bloque automatiquement au bout de trois basculements entre la version de bureau de LastPass et la version mobile, ce qui empêche donc ceux dont le compte est verrouillé sur mobile d'exporter leurs données. Le blocage serait en réalité effectif peu importe la version du gestionnaire (bureau, mobile ou navigateur).

Cette pratique, si elle était avérée, reviendrait alors à pousser l'utilisateur à souscrire à l'offre payante de LastPass pour pouvoir exporter ses mots de passe, ce qui est contraire, selon l'internaute, à l'article 20 du RGPD, qui sacre le droit à la portabilité des données. Cet article dispose en effet qu'un utilisateur est en droit de recevoir les données à caractère personnel le concernant « dans un format structuré, couramment utilisé et lisible par machine » (CSV par exemple), sans que le responsable du traitement auquel les données ont été communiquées (à savoir LastPass), y fasse obstacle.

Des ennuis à répétition pour LastPass

Ce bug (volontaire ou non) d'exportation des données fut déjà signalé une première fois, le 21 mars 2021. Un employé de LastPass avait alors indiqué qu'une prochaine mise à jour corrigerait le défaut, sauf que celle-ci se fait toujours attendre, dix mois plus tard. Et les plaintes commencent à se multiplier, ce qui a, vous allez le voir, le mérite de faire bouger les choses.

La communication entre LastPass et ses utilisateurs est en tout cas compliquée, certains dénonçant le manque d'un canal de support dédié à ce type de problème, ce qui oblige les utilisateurs à « créer un compte séparé pour accéder à des forums communautaires où l'on peut publier sur la façon dont LastPass détient illégalement vos données en otage, en espérant qu'un membre de l'entreprise répondra », ajoute l'internaute nametaken_thisonetoo.

Fort heureusement, LastPass a réagi et a fini par débloquer la situation, si l'on en croit l'utilisateur. Il a en effet finalement pu, en quelques minutes, télécharger un fichier CSV de ses mots de passe. Pour ces manquements, LastPass n'est pas à l'abri d'être sanctionné en Europe, où le RGPD prévoit une amende pouvant s'élever à 20 millions d'euros, ou jusqu'à 4 % du chiffre d'affaires mondial de l'entreprise. Une issue qui nous semble néanmoins très peu probable.

LastPass semble traverser une période tumultueuse. Le gestionnaire de mots de passe, simple à utiliser et compatible Windows et MacOS, a été victime d'une attaque informatique tout récemment, qui a abouti à l'envoi d'e-mails à destination de certains de ses utilisateurs, leur indiquant avoir relevé des tentatives d'accès à leur compte par le biais de leur mot de passe maître. Ces tentatives ont été bloquées par LastPass, qui a écarté la fuite de données, mais a indiqué avoir constaté une erreur de ses systèmes de sécurité.

Sources : Reddit, LogMeIncommunity