Pourquoi LastPass pourrait risquer une amende de 20 millions dans le cadre du RGPD ?

Alexandre Boero
Par Alexandre Boero, Journaliste-reporter, responsable de l'actu.
Publié le 12 janvier 2022 à 15h55
mot de passe

Le gestionnaire de mots de passe américain LastPass, qui aurait été victime d'une cyberattaque récemment, se voit en plus reprocher de possibles manquements au RGPD.

Sur Reddit, un utilisateur mécontent de la politique tarifaire de LastPass a mené sa petite enquête et dénoncé, dans un article repris par certains médias américains, la façon dont le logiciel tiendrait les données de ses utilisateurs « en otage ». Il fait peser de nombreux griefs sur LastPass en matière de données personnelles, indiquant même que le gestionnaire de mots de passe violerait le Règlement général sur la protection des données (RGPD).

Un blocage de l'exportation des mots de passe qui pousserait à utiliser la version payante de LastPass

L'utilisateur nametaken_thisonetoo accuse LastPass, arguments à l'appui, de mettre en place toute une stratégie visant à empêcher les utilisateurs souhaitant quitter l'outil d'exporter leur banque de mots de passe pour les récupérer, sous prétexte qu'ils utilisent une version gratuite du gestionnaire. Sauf que ces mots de passe équivalent ici à des données personnelles.

Sur le subreddit r/software, l'utilisateur explique que la fonction d'exportation se bloque automatiquement au bout de trois basculements entre la version de bureau de LastPass et la version mobile, ce qui empêche donc ceux dont le compte est verrouillé sur mobile d'exporter leurs données. Le blocage serait en réalité effectif peu importe la version du gestionnaire (bureau, mobile ou navigateur).

Cette pratique, si elle était avérée, reviendrait alors à pousser l'utilisateur à souscrire à l'offre payante de LastPass pour pouvoir exporter ses mots de passe, ce qui est contraire, selon l'internaute, à l'article 20 du RGPD, qui sacre le droit à la portabilité des données. Cet article dispose en effet qu'un utilisateur est en droit de recevoir les données à caractère personnel le concernant « dans un format structuré, couramment utilisé et lisible par machine » (CSV par exemple), sans que le responsable du traitement auquel les données ont été communiquées (à savoir LastPass), y fasse obstacle.

Des ennuis à répétition pour LastPass

Ce bug (volontaire ou non) d'exportation des données fut déjà signalé une première fois, le 21 mars 2021. Un employé de LastPass avait alors indiqué qu'une prochaine mise à jour corrigerait le défaut, sauf que celle-ci se fait toujours attendre, dix mois plus tard. Et les plaintes commencent à se multiplier, ce qui a, vous allez le voir, le mérite de faire bouger les choses.

La communication entre LastPass et ses utilisateurs est en tout cas compliquée, certains dénonçant le manque d'un canal de support dédié à ce type de problème, ce qui oblige les utilisateurs à « créer un compte séparé pour accéder à des forums communautaires où l'on peut publier sur la façon dont LastPass détient illégalement vos données en otage, en espérant qu'un membre de l'entreprise répondra », ajoute l'internaute nametaken_thisonetoo.

Fort heureusement, LastPass a réagi et a fini par débloquer la situation, si l'on en croit l'utilisateur. Il a en effet finalement pu, en quelques minutes, télécharger un fichier CSV de ses mots de passe. Pour ces manquements, LastPass n'est pas à l'abri d'être sanctionné en Europe, où le RGPD prévoit une amende pouvant s'élever à 20 millions d'euros, ou jusqu'à 4 % du chiffre d'affaires mondial de l'entreprise. Une issue qui nous semble néanmoins très peu probable.

LastPass semble traverser une période tumultueuse. Le gestionnaire de mots de passe, simple à utiliser et compatible Windows et MacOS, a été victime d'une attaque informatique tout récemment, qui a abouti à l'envoi d'e-mails à destination de certains de ses utilisateurs, leur indiquant avoir relevé des tentatives d'accès à leur compte par le biais de leur mot de passe maître. Ces tentatives ont été bloquées par LastPass, qui a écarté la fuite de données, mais a indiqué avoir constaté une erreur de ses systèmes de sécurité.

Alexandre Boero
Par Alexandre Boero
Journaliste-reporter, responsable de l'actu

Journaliste, responsable de l'actualité de Clubic. En soutien direct du rédacteur en chef, je suis aussi le reporter et le vidéaste de la bande. Journaliste de formation, j'ai fait mes gammes à l'EJCAM, école reconnue par la profession, où j'ai bouclé mon Master avec une mention « Bien » et un mémoire sur les médias en poche.

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Commentaires (3)
cirdan

Un gestionnaire de mots de passe online c’est déjà une hérésie.
KeePass n’est pas très beau mais bien plus sécurisé.

benben99

Utilisez des compagnie européennes au lieu d’envoyer toujours vos données aux USAs… C’est pas compliqué!

HunterAlex

Tout dépend de ce qu’on entend par « sécurité ». Pour certains, la sécurité consiste à pouvoir dupliquer une donnée en cas de perte (d’où l’intérêt pour les fonctionnalités de backup et d’export). Pour d’autre, la sécurité consiste justement à ne pas dupliquer la donnée, de peur qu’elle soit disponible et attaquable de plusieurs endroits…