Le groupe parent de Facebook, Meta Platforms Inc., a été condamné lundi à une amende de 265 millions d'euros (228 millions de livres sterling) par la Commission irlandaise de protection des données (DPC) pour une violation de données découverte en 2021 qui a révélé les données personnelles de centaines de millions d'utilisateurs de Facebook en ligne.
La sanction découle d'une enquête que le DPC a ouverte le 14 avril 2021 sur des informations selon lesquelles un ensemble de données rassemblées de données personnelles Facebook sur plus de 533 millions d'utilisateurs a été mis à disposition sur Internet, à la suite d'une instance de grattage.
Dans la violation de données, les données personnelles de plus de 533 millions d'utilisateurs de Facebook de 106 pays ont été divulguées sur un forum de piratage bien connu de 2018 à 2019, qui comprenait leurs numéros de téléphone, identifiants Facebook, noms complets, lieux, dates de naissance, bios et – dans certains cas – des adresses e-mail, ce qui en fait une cible potentielle pour les acteurs de la menace.
À l'époque, Meta a déclaré que les données avaient été “grattées” d'Internet en raison d'une vulnérabilité qui existait dans son outil “Contact Importer” mais qui n'avait pas été piratée par des acteurs malveillants. Cette faille a été corrigée par le réseau de médias sociaux en 2019 afin qu'aucune autre information ne puisse être récoltée.
Le régulateur irlandais a déclaré que l'entreprise n'avait pas respecté les lois du règlement général sur la protection des données (RGPD) de l'Union européenne sur la “protection des données par conception et par défaut”.
L'organisme de surveillance a déclaré que dans le cadre de son enquête, il avait procédé à un examen et à une évaluation des outils Facebook Search, Facebook Messenger Contact Importer et Instagram Contact Importer en ce qui concerne le traitement effectué par Meta Platforms Ireland Limited (« MPIL ») pendant la période comprise entre 25 mai 2018 et septembre 2019.
Les questions matérielles de l'enquête concernaient des questions de conformité avec l'obligation du règlement général sur la protection des données (RGPD) pour la protection des données dès la conception et par défaut.
DPC a déclaré Meta coupable d'avoir enfreint les articles 25(1) et 25(2) des règles du RGPD, résumés ci-dessous :
- 25(1) – Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, et intègre dans le traitement les garanties nécessaires pour répondre aux exigences du présent règlement et protéger les droits des personnes concernées.
- 25(2) – Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel nécessaires à chaque finalité de traitement sont traitées. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles sans l'intervention de l'individu à un nombre indéfini de personnes physiques.
“Il y a eu un processus d'enquête complet, y compris une coopération avec toutes les autres autorités de contrôle de la protection des données au sein de l'UE”, lit-on dans le communiqué de presse du DPC. “Ces autorités de contrôle ont approuvé la décision du DPC.”
Outre l'amende, Meta a reçu une réprimande et une ordonnance lui demandant de mettre son traitement en conformité “en prenant une série de mesures correctives spécifiées” dans un délai donné. Cependant, on ne sait pas exactement ce que ces actions impliquent.
Dans un communiqué publié lundi, Meta a déclaré que « la protection de la confidentialité et de la sécurité des données des personnes est fondamentale pour le fonctionnement de notre entreprise. C'est pourquoi nous avons pleinement coopéré avec la Commission irlandaise de protection des données sur cette question importante.
“Nous avons apporté des modifications à nos systèmes pendant la période en question, notamment en supprimant la possibilité de supprimer nos fonctionnalités de cette manière en utilisant des numéros de téléphone”, a-t-il ajouté.
“Le grattage de données non autorisé est inacceptable et contraire à nos règles et nous continuerons à travailler avec nos pairs sur ce défi de l'industrie. Nous examinons attentivement cette décision.
