91 millions d’euros : c’est le montant de la nouvelle amende infligée par l’Union européenne à Meta, la maison mère d’Instagram, de Facebook et de WhatsApp. Ce vendredi 27 septembre, la commission irlandaise de protection des données, l’équivalent de la CNIL dans le pays (DPC), a estimé que le groupe américain avait bien violé le RGPD, le règlement européen qui protège les données personnelles. Meta a manqué de transparence après une faille de sécurité affectant les mots de passe de ses utilisateurs : non seulement des mesures de sécurité n’ont pas été mises en place, mais le groupe aurait tardé à informer les usagers de ce problème, estime le régulateur irlandais, qui agit au nom de l’Union européenne (UE).
Tout avait commencé il y a près de cinq ans, en janvier 2019. 36 millions d’utilisateurs de Facebook et Instagram étaient touchés par une faille de sécurité. En mars 2019 soit deux mois plus tard, la filiale irlandaise de Meta, qui a son siège européen dans le pays, avait informé la DPC du stockage, « par inadvertance », de « certains mots de passe d’utilisateurs » en clair, c’est-à-dire de manière non chiffrée, non protégée. Ces derniers n’auraient cependant pas « été communiqués à des parties externes », précisait la société américaine. De quoi inquiéter l’autorité irlandaise, qui, en avril 2019, avait décidé d’ouvrir une enquête. Cinq ans plus tard, sa décision a été notifiée à Meta, précise-t-elle dans un communiqué de ce vendredi 27 septembre. Le groupe est bien coupable d’avoir violé plusieurs articles du RGPD. Il est bien condamné à payer une amende de 91 millions d’euros.
À lire aussi : « Les LLM, c’est nul » : le responsable IA de Meta tacle les IA génératives actuelles, et promet bien mieux
Des mots de passe stockés en clair et un manque de transparence ?
Pour Graham Doyle, le responsable de la communication de la DPC, cité dans le communiqué, « il est largement admis que les mots de passe des utilisateurs ne devraient pas être stockés en clair, compte tenu des risques d’abus qui découlent de l’accès à ces données par des personnes. Il faut garder à l’esprit que les mots de passe examinés dans cette affaire sont particulièrement sensibles, car ils permettraient d’accéder aux comptes de réseaux sociaux des utilisateurs ».
Pour se connecter à son compte Facebook ou Instagram, il faut un mot de passe, généralement stocké dans un format protégé par les plateformes, notamment à l’aide de techniques cryptographiques. On ne sait pas pourquoi cela n’a pas été le cas pour ces 36 millions d’utilisateurs, en 2019.
Contacté par 01net.com, un porte-parole de Meta a expliqué que le groupe « avait pris des mesures immédiates pour corriger cette erreur. Il n’y a aucune preuve que ces mots de passe aient été utilisés de manière abusive (…). Nous avons signalé ce problème de manière proactive à notre principale autorité de régulation, la Commission irlandaise de protection des données, et nous nous sommes engagés de manière constructive avec elle tout au long de cette enquête ». La société américaine fera-t-elle appel de cette décision ? Interrogée sur ce point, cette dernière a simplement indiqué étudier les détails de la décision.
À lire aussi : Mistral et Meta refusent d’adhérer au Pacte volontaire de l’UE sur l’IA
Meta accumule les violations du RGPD
Ce n’est pas la première fois que Meta est visé par une amende pour violation du droit des données personnelles en Europe. L’entreprise de Mark Zuckerberg est régulièrement l’objet de décisions de violation du RGPD. Manque de transparence, absence de protection des données d’utilisateurs dont des mineurs, traitement de données personnelles à des fins de publicité ciblée sans transparence… Entre septembre 2021 et aujourd’hui, le groupe a été l’objet de plusieurs décisions de la DPC, accusée d’être trop conciliante avec les géants du numérique. En tout, la société de Menlo Park a écopé d’amendes avoisinant les 2,6 milliards d’euros :
- 225 millions en septembre 2021, pour son manque de transparence dans le traitement des informations entre WhatsApp et d’autres sociétés du groupe,
- 17 millions en mars 2022, pour douze fuites de données personnelles en 2018,
- 405 millions en septembre 2022 pour violation de la vie privée des mineurs sur Instagram,
- 265 millions d’euros en novembre 2022 suite au piratage de 533 millions de comptes Facebook en 2019,
- 390 millions d’euros en janvier 2023 pour des fondations juridiques inappropriées au sujet du « traitement des données à caractère personnel à des fins de publicité » sur Instagram et Facebook,
- 1,2 milliard en mai 2023 pour avoir « continué de transférer des données personnelles » d’utilisateurs de l’Europe vers les États-Unis alors qu’elle n’était plus autorisée à le faire,
- 5,5 millions pour manque de transparence.
À lire aussi : L’Europe sur le point d’invalider le système du « paiement ou consentement » de Meta (Instagram, Facebook, WhatsApp)
Note de la rédaction : cet article a été mis à jour pour insérer les commentaires de Meta, reçus après la publication initiale.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.