Passer au contenu

Meta (Instagram, Facebook, WhatsApp) contraint de payer une nouvelle amende en Europe

L’Union européenne a prononcé une nouvelle amende contre le groupe de Mark Zuckerberg, cette fois pour une affaire qui remonte à 2019, et qui concerne des mots de passe de comptes utilisateurs non protégés.

91 millions d’euros : c’est le montant de la nouvelle amende infligée par l’Union européenne à Meta, la maison mère d’Instagram, de Facebook et de WhatsApp. Ce vendredi 27 septembre, la commission irlandaise de protection des données, l’équivalent de la CNIL dans le pays (DPC), a estimé que le groupe américain avait bien violé le RGPD, le règlement européen qui protège les données personnelles. Meta a manqué de transparence après une faille de sécurité affectant les mots de passe de ses utilisateurs : non seulement des mesures de sécurité n’ont pas été mises en place, mais le groupe aurait tardé à informer les usagers de ce problème, estime le régulateur irlandais, qui agit au nom de l’Union européenne (UE).

Tout avait commencé il y a près de cinq ans, en janvier 2019. 36 millions d’utilisateurs de Facebook et Instagram étaient touchés par une faille de sécurité. En mars 2019 soit deux mois plus tard, la filiale irlandaise de Meta, qui a son siège européen dans le pays, avait informé la DPC du stockage, « par inadvertance », de « certains mots de passe d’utilisateurs » en clair, c’est-à-dire de manière non chiffrée, non protégée. Ces derniers n’auraient cependant pas « été communiqués à des parties externes », précisait la société américaine. De quoi inquiéter l’autorité irlandaise, qui, en avril 2019, avait décidé d’ouvrir une enquête. Cinq ans plus tard, sa décision a été notifiée à Meta, précise-t-elle dans un communiqué de ce vendredi 27 septembre. Le groupe est bien coupable d’avoir violé plusieurs articles du RGPD. Il est bien condamné à payer une amende de 91 millions d’euros.

À lire aussi : « Les LLM, c’est nul » : le responsable IA de Meta tacle les IA génératives actuelles, et promet bien mieux

Des mots de passe stockés en clair et un manque de transparence ?

Pour Graham Doyle, le responsable de la communication de la DPC, cité dans le communiqué, « il est largement admis que les mots de passe des utilisateurs ne devraient pas être stockés en clair, compte tenu des risques d’abus qui découlent de l’accès à ces données par des personnes. Il faut garder à l’esprit que les mots de passe examinés dans cette affaire sont particulièrement sensibles, car ils permettraient d’accéder aux comptes de réseaux sociaux des utilisateurs ».

Pour se connecter à son compte Facebook ou Instagram, il faut un mot de passe, généralement stocké dans un format protégé par les plateformes, notamment à l’aide de techniques cryptographiques. On ne sait pas pourquoi cela n’a pas été le cas pour ces 36 millions d’utilisateurs, en 2019.

Contacté par 01net.com, un porte-parole de Meta a expliqué que le groupe « avait pris des mesures immédiates pour corriger cette erreur. Il n’y a aucune preuve que ces mots de passe aient été utilisés de manière abusive (…). Nous avons signalé ce problème de manière proactive à notre principale autorité de régulation, la Commission irlandaise de protection des données, et nous nous sommes engagés de manière constructive avec elle tout au long de cette enquête ». La société américaine fera-t-elle appel de cette décision ? Interrogée sur ce point, cette dernière a simplement indiqué étudier les détails de la décision.

À lire aussi : Mistral et Meta refusent d’adhérer au Pacte volontaire de l’UE sur l’IA

Meta accumule les violations du RGPD

Ce n’est pas la première fois que Meta est visé par une amende pour violation du droit des données personnelles en Europe. L’entreprise de Mark Zuckerberg est régulièrement l’objet de décisions de violation du RGPD. Manque de transparence, absence de protection des données d’utilisateurs dont des mineurs, traitement de données personnelles à des fins de publicité ciblée sans transparence… Entre septembre 2021 et aujourd’hui, le groupe a été l’objet de plusieurs décisions de la DPC, accusée d’être trop conciliante avec les géants du numérique. En tout, la société de Menlo Park a écopé d’amendes avoisinant les 2,6 milliards d’euros :

À lire aussi : L’Europe sur le point d’invalider le système du « paiement ou consentement » de Meta (Instagram, Facebook, WhatsApp)

Note de la rédaction : cet article a été mis à jour pour insérer les commentaires de Meta, reçus après la publication initiale. 

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Source : Communiqué de presse de la CNIL irlandaise


Stéphanie Bascou