Les dossiers Tesla emploient le procureur général des États-Unis

L’arrière-plan est le rapport sur les fichiers Tesla. Des initiés avaient divulgué plus de 100 gigaoctets de données du cœur de l’entreprise au Handelsblatt. Les plus de 23 000 fichiers contiennent de nombreuses informations personnelles telles que les salaires, les adresses privées, les numéros de passeport et de sécurité sociale.

Selon les informateurs, les données étaient mal protégées et facilement accessibles. C’est pourquoi les autorités européennes de protection des données sont également saisies de l’affaire. Dans la lettre qui vient d’être publiée, Tesla accuse deux ex-employés d’avoir violé les “directives de sécurité et de protection des données” internes et d’avoir transmis les données.

La société n’a averti ses investisseurs des conséquences qu’à la fin du mois de juillet. Tesla a nommé la fuite de données dans son rapport trimestriel à la Securities and Exchange Commission des États-Unis dans une série d’enquêtes du ministère américain de la Justice. Un “développement défavorable” pourrait entraîner un “impact négatif important” – notamment en ce qui concerne “l’activité de Tesla, nos résultats d’exploitation, nos perspectives, notre trésorerie, notre situation financière ou notre marque”.

L’usurpation d’identité inquiète les employés

Les employés doivent également être avertis. Tesla a annoncé dans sa lettre aux personnes concernées que la société les soutiendrait avec “une adhésion gratuite à IdentityWorks d’Experian”. Celle-ci leur offre « des services de surveillance du crédit, de détection d’identité et de résolution ».

En toile de fond, le problème de l’usurpation d’identité, particulièrement connu aux États-Unis. Les numéros de sécurité sociale, y compris ceux du patron de l’entreprise Elon Musk, font partie des données qui, selon les initiés, étaient mal protégées. Pour les cyber-pirates, ce sont les outils idéaux pour causer de gros dégâts.

Il faut souvent des mois aux victimes pour retrouver leur identité volée. Cependant, lorsque des inconnus ont passé des commandes et contracté des emprunts en leur nom, les dégâts sont souvent irréparables. La cote de crédit, qui est importante aux États-Unis, peut rester un gâchis – elle est cruciale pour l’évaluation du client, par exemple par les banques avant d’acheter une maison.

Toute personne qui pense désormais avoir été « victime d’un vol d’identité » doit le signaler immédiatement aux autorités, écrit le responsable de la protection des données de Tesla dans sa lettre aux personnes concernées. Il les exhorte également à revoir également les “ressources de prévention du vol d’identité” fournies par la US Trade Commission.

Depuis quand Tesla le savait-il ?

Il est surprenant que Tesla déclare que la société n’a découvert la fuite de données qu’en mai. Le Handelsblatt a commencé à contacter les clients et les employés en février. Au moins un prétend avoir contacté l’entreprise. Dans un post sur le réseau social LinkedIn, l’ex-chef d’équipe de l’usine Grünheide dans le Brandebourg s’est agacé de n’avoir “pas entendu un mot de Tesla” par la suite.

Le 10 mai, le Handelsblatt a également confronté Tesla. L’entreprise n’a pas répondu aux questions. Au lieu de cela, un avocat d’entreprise a demandé aux éditeurs dans une lettre de renvoyer les données, puis de les supprimer. Selon eux, Tesla n’a informé les délégués européens à la protection des données que trois jours plus tard.

Le chef de l’autorité du Brandebourg, Dagmar Hartge, a transmis l’affaire aux délégués néerlandais à la protection des données à La Haye car le siège européen de Tesla se trouve à Amsterdam. Hartge a été étonné par l’ampleur de la fuite de données au sein de l’entreprise américaine : “Je ne me souviens pas d’une telle dimension à mon époque”.
Pour les autorités, la séquence chronologique exacte des connaissances sur la sortie de données est pertinente. Le règlement général sur la protection des données (RGPD) impose à une entreprise d’informer l’autorité de contrôle « sans retard excessif et si possible dans les 72 heures » après avoir pris connaissance d’une violation de données personnelles.

Poursuites contre deux ex-employés

Le RGPD peut émettre des avertissements ou imposer des amendes en cas de protection insuffisante des données et de signalement tardif des violations. Ce dernier peut représenter jusqu’à 4 % des ventes du groupe. Avec les ventes annuelles de Tesla d’un peu moins de 81,5 milliards de dollars, cela représenterait jusqu’à 3,26 milliards de dollars.

Fin mai, Tesla a également informé ses employés qu’un ancien employé avait “abusé” de leur accès pour “copier de manière inappropriée des informations du réseau” et les partager avec “un média extérieur à l’UE”. Tesla enquête actuellement “pour savoir si d’autres personnes auraient pu être impliquées”.

Lisez également sur les fichiers Tesla :

Entre-temps, l’entreprise suppose apparemment que deux employés ont transmis des informations. Des poursuites ont abouti à la saisie d’appareils électroniques censés contenir les données, a déclaré Tesla dans sa lettre. La société a également obtenu des injonctions interdisant aux deux individus “d’utiliser, d’accéder ou de diffuser ultérieurement les données”.

La raison pour laquelle Tesla a attendu jusqu’à maintenant pour alerter également les autorités américaines n’est pas claire. De même, si Tesla a informé les autorités d’autres États américains. L’entreprise a d’abord laissé une demande du Handelsblatt dimanche sans réponse.

Plus: Un ex-employé affirme que Tesla a averti très tôt des fuites de données.