La Commission irlandaise de protection des données (DPC) a annoncé aujourd'hui [17 décembre 2024] ses décisions finales à la suite de deux enquêtes sur Meta Platforms Ireland Limited (« MPIL »). Ces enquêtes d'auto-volition ont été lancées par la DPC à la suite d'une violation de données personnelles, qui a été signalée par MPIL en septembre 2018.
Cette violation de données a eu un impact sur environ 29 millions de comptes Facebook dans le monde, dont environ 3 millions étaient basés dans l'UE/EEE. Les catégories de données à caractère personnel concernées comprenaient : le nom complet de l'utilisateur, son adresse électronique, son numéro de téléphone, sa localisation, son lieu de travail, sa date de naissance, sa religion, son sexe, ses publications sur sa timeline, les groupes dont l'utilisateur était membre et les données à caractère personnel de ses enfants. La violation résulte de l'exploitation par des tiers non autorisés de jetons d'utilisateur sur la plateforme Facebook. MPIL et sa société mère américaine ont remédié à la violation peu de temps après sa découverte.
Les décisions, prises par les commissaires à la protection des données, M. Des Hogan et M. Dale Sunderland, comprennent un certain nombre de blâmes et une injonction de payer des amendes administratives d'un montant total de 251 millions d'euros.
La DPC a soumis un projet de décision au mécanisme de coopération du GDPR en septembre 2024, comme l'exige l'article 60 du GDPR[2]. Aucune objection n'a été soulevée à l'encontre du projet de décision du CPD. Le DPC remercie les autorités de contrôle de l'UE/EEE pour leur coopération et leur assistance dans cette affaire.
Les décisions finales de la DPC font état des constatations suivantes de violation du RGPD :
1. Décision 1
- Article 33, paragraphe 3, du RGPD - En n'incluant pas dans sa notification de violation toutes les informations requises par cette disposition qu'elle aurait pu et dû inclure. La DPC a réprimandé MPIL pour ses manquements à cette disposition et l'a condamnée à payer des amendes administratives d'un montant de 8 millions d'euros.
- Article 33, paragraphe 5, du RGPD - En omettant de documenter les faits relatifs à chaque violation, les mesures prises pour y remédier, et de le faire d'une manière qui permette à l'autorité de contrôle de vérifier la conformité. La DPC a réprimandé MPIL pour ses manquements à cette disposition et l'a condamnée à payer des amendes administratives d'un montant de 3 millions d'euros.
2. Décision 2
- Article 25, paragraphe 1, du RGPD - En ne veillant pas à ce que les principes de protection des données soient protégés lors de la conception des systèmes de traitement. La DPC a constaté que MPIL avait enfreint cette disposition, lui a adressé un blâme et l'a condamnée à payer des amendes administratives d'un montant de 130 millions d'euros.
- Article 25, paragraphe 2 - En manquant à leur obligation, en tant que responsables du traitement, de veiller à ce que, par défaut, seules les données à caractère personnel nécessaires à des finalités spécifiques soient traitées. La DPC a constaté que MPIL avait enfreint ces dispositions, lui a infligé un blâme et l'a condamnée à payer des amendes administratives d'un montant de 110 millions d'euros.
La DPC publiera le texte intégral de la décision et d'autres informations connexes en temps utile.
Partager