En attendant plus de trois ans avant d’informer les autorités américaines du piratage d’août 2013, occasionnant la fuite de plus d’un milliard de données personnelles, et en prenant son temps pour avertir de plusieurs autres piratages, dont l’un fin 2014, occasionne la fuite de plus de 500 millions de données personnelles, Yahoo a enfreint la loi américaine.

En 2016, plusieurs actions en justice sont intentées contre Yahoo, recherchant le statut de recours collectif. Il lui est reproché de ne pas avoir protégé de façon adéquate les données personnelles de ses clients, de ne pas avoir informé de ses pratiques défaillantes en matière de sécurité, et de ne pas avoir notifié les victimes à temps.

En mai 2017, Yahoo déposait une demande de non-lieu.

La juge en charge du dossier, Lucy Koh, de la Cour fédérale pour le district nord de la Californie, a refusé dans son jugement en fin de semaine dernière d’accorder ce non-lieu à Yahoo.

Elle note que les plaignants ont établi de futurs risques de vol d’identité, en plus de la perte de valeur de leurs informations personnelles. Certains ont dû dépenser de l’argent pour se protéger.

Elle constate que si Yahoo avait prévenu les victimes rapidement, elles auraient pu se défendre en changeant leurs mots de passe. Alors que les pirates ont eu tout loisir de vendre des centaines de millions d’informations personnelles sur le dark web.

Si Koh a rejeté certaines requêtes, son jugement de 93 pages est une victoire pour les plaignants.

Verizon, qui avait profité des révélations tardives pour racheter Yahoo pour 350 millions de dollars de moins, pourrait regretter son choix de ne pas avoir abandonné alors l’acquisition. Verizon n’a pas souhaité s’exprimer sur un litige en cours.

L’opérateur américain de télécommunications, qui a combiné AOL et Yahoo sous la nouvelle marque Oath, a déjà licencié 2 200 employés, soit 15 % de la main d’œuvre.

Lors des faits reprochés, Marissa Mayer était à la tête de Yahoo. Elle a reçu plus de 200 millions de dollars de compensation en quittant l’entreprise…

L’affaire numéro 16-md-02752 est : In re : Yahoo INC Customer Data Security Breach Litigation, U.S. District Court, Northern District of California.