En septembre 2018, Facebook a été victime d’une fuite de données. Après enquête, il s’est avéré que des pirates ont pu voler les noms et les informations de contact (numéro de téléphone) de 29 millions de comptes Facebook en exploitant une faille de sécurité. Plus de trois millions de victimes résident en Europe.
À lire aussi :
Des infractions au RGPD ont aggravé les choses
Selon la Data Protection Commission (DPC), l’équivalent de la CNIL en Irlande, où se trouve le siège social de Meta en Europe, la fuite a été aggravée par les lacunes de Meta en matière de protection des données. Pour l’organisme, le géant américain a commis plusieurs infractions au RGPD, le règlement général sur la protection des données en vigueur en Europe. Avant d’arriver à cette conclusion, le régulateur a mené deux enquêtes sur les pratiques de Meta. Aux dires du régulateur, il y avait une vulnérabilité dans la fonctionnalité de téléchargement de vidéos. Exploitée par des pirates, elle a permis d’accéder entièrement aux profils Facebook d’autres utilisateurs.
Le communiqué du DPC pointe du doigt des infractions à l’article 25 du RGPD, qui prévoit que la protection des données doit être « intégrée comme paramètre par défaut ». La protection « by design » et « par défaut » sont deux principes fondamentaux inscrits dans le RGPD, qui doit garantir un traitement respectueux des données personnelles tout au long de leur cycle de vie. Ces exigences obligent les entreprises à anticiper les enjeux liés à la confidentialité et à la sécurité des données avant même de commencer à développer un produit. Par ailleurs, seules les données strictement nécessaires doivent être collectées, traitées, et conservées.
Meta a été incapable d’intégrer « les exigences en matière de protection des données tout au long du cycle de conception et de développement » de Facebook, ce qui a exposé « les individus à des risques et des préjudices graves, notamment en portant atteinte à leurs droits et libertés fondamentaux », explique Graham Doyle, responsable des communications du régulateur. Par ailleurs, « en autorisant l’exposition non autorisée des informations de profil, les vulnérabilités derrière cette violation ont créé un risque sérieux d’utilisation abusive de ces types de données ».
« Les profils Facebook peuvent, et le font souvent, contenir des informations sur des questions telles que les croyances religieuses ou politiques, la vie ou l’orientation sexuelle, et des questions similaires qu’un utilisateur peut souhaiter divulguer uniquement dans des circonstances particulières », souligne Graham Doyle.
Le régulateur estime aussi que Meta a manqué de précision dans sa notification de violation, censée avertir les autorités de l’incident. Le groupe de Menlo Park a omis « de documenter les faits relatifs à chaque violation, et les mesures prises pour y remédier ». Ces manquements ont compliqué le travail du régulateur chargé de vérifier la conformité des mesures mises en place par Meta.
251 millions d’euros
Bien que Meta ait rapidement corrigé la faille, la DPC a choisi d’infliger une amende de 251 millions d’euros au groupe californien. Sans surprise, Meta s’est d’ores et déjà engagé à faire appel à la sanction décrétée par le gendarme irlandais. Dans un communiqué adressé à Bloomberg, Meta affirme avoir « pris des mesures immédiates pour résoudre le problème dès qu’il a été identifié, et nous avons informé de manière proactive les personnes touchées ainsi que la Commission irlandaise de protection des données » et « mis en place un large éventail de mesures de pointe pour protéger les personnes sur nos plateformes ».
Ce n’est pas la première sanction infligée à Meta par la Data Protection Commission. Pour des lacunes similaires au RGPD, le régulateur avait déjà imposé une amende de 405 millions de dollars à l’entreprise l’année dernière. Plus récemment, Meta a écopé d’une amende de 91 millions de dollars pour avoir mal protégé les mots de passe des membres de Facebook.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : DPC