Meta condamné à une amende de 17 millions d'euros pour 12 violations de données liées au RGPD en 2018,
par la Commission irlandaise de protection des données

La Commission irlandaise de protection des données (DPC pour Data Protection Commission) a infligé une amende de 17 millions d'euros à Meta pour 12 violations de données. Elle a déclaré que la société avait violé plusieurs articles du règlement général sur la protection des données (RGPD) de l'Union européenne en omettant « d'avoir mis en place des mesures techniques et organisationnelles appropriées qui lui permettraient de démontrer facilement les mesures de sécurité qu'elle a mises en œuvre dans la pratique pour protéger les données des utilisateurs de l'UE ».

Le DPC a reçu les notifications de violation de données de Meta entre juin et décembre 2018. Avant d'annoncer l'amende, elle a consulté d'autres autorités européennes conformément aux directives du RGPD, car l'enquête était liée à un traitement « transfrontalier ».


Voici le communiqué de la Commission de protection des données quant à sa décision suite à une enquête concernant Meta (Facebook) :

« Le DPC a adopté aujourd'hui une décision infligeant une amende de 17 millions d'euros à Meta Platforms Ireland Limited (anciennement Facebook Ireland Limited) (« Meta Platforms »).

« La décision fait suite à une enquête menée par le DPC sur une série de douze notifications de violation de données qu'il a reçues au cours de la période de six mois entre le 7 juin 2018 et le 4 décembre 2018. L'enquête a examiné dans quelle mesure les plateformes de Meta se conformaient aux exigences des articles 5 du RGPD ( 1)(f), 5(2), 24(1) et 32(1) en ce qui concerne le traitement des données personnelles pertinentes pour les douze notifications de violation.

« À la suite de son enquête, le DPC a conclu que les plateformes de Meta avaient enfreint les articles 5(2) et 24(1) du RGPD. Le DPC a constaté que les Meta Platforms n'avaient pas mis en place les mesures techniques et organisationnelles appropriées qui lui permettraient de démontrer facilement les mesures de sécurité qu'elle a mises en œuvre dans la pratique pour protéger les données des utilisateurs de l'UE, dans le contexte des douze violations de données à caractère personnel.

« Étant donné que le traitement examiné constituait un traitement "transfrontalier", la décision du DPC était soumise au processus de codécision prévu à l'article 60 du RGPD et toutes les autres autorités de contrôle européennes étaient engagées en tant que co-décideurs. Alors que des objections au projet de décision du DCP ont été soulevées par deux des autorités européennes de contrôle, un consensus a été atteint grâce à un dialogue plus approfondi entre le DPC et les autorités de contrôle concernées. En conséquence, la décision du DPC représente les points de vue collectifs du DPC et de ses autorités de surveillance homologues dans toute l'UE ».

« Cette amende concerne les pratiques de tenue de registres de 2018 que nous avons mises à jour depuis, et non un manquement à la protection des informations des personnes », a déclaré un porte-parole de Meta. « Nous prenons au sérieux nos obligations en vertu du RGPD et examinerons attentivement cette décision à mesure que nos processus continueront d'évoluer ».

L'amende est une goutte d'eau dans l'océan pour Meta, qui a récolté 32,6 milliards de dollars de revenus publicitaires au dernier trimestre seulement. La sanction est dérisoire par rapport à une amende de 267 millions de dollars que le DPC a infligée l'année dernière après avoir déterminé que l'application Meta WhatsApp n'avait pas respecté les règles de transparence du RGPD.

Nom : facebook.png
Affichages : 1259
Taille : 315,8 Ko

Des pirates ont réussi à prendre le contrôle de dizaines de millions de comptes Facebook

Étant donné la période (des notifications en 2018), il est possible que cette décision concerne une affaire médiatisée de Facebook.

Le 28 septembre 2018, Facebook a révélé que près de 50 millions de comptes Facebook ont été compromis par une attaque dont les auteurs ont réussi à prendre le contrôle des comptes. La brèche de sécurité a été, selon les dires de l’entreprise, découverte le mardi 25 septembre et colmatée deux jours plus tard. Facebook a admis que le bogue aurait potentiellement exposé les données des utilisateurs pendant au moins 14 mois. En octobre de la même année, l'estimation du nombre d'utilisateurs affectés est passée de 50 millions à 90 millions de comptes.

La violation de sécurité était particulièrement grave, car les pirates ont volé des « jetons d’accès », une sorte de clé de sécurité permettant aux utilisateurs de rester connectés à Facebook via plusieurs sessions de navigation. Posséder un jeton permet à un attaquant de prendre le contrôle total du compte de la victime, y compris de se connecter à des applications tierces utilisant Facebook Login. Les attaquants auraient pu accéder à des applications telles que Spotify, Instagram et des centaines d'autres applications permettant aux utilisateurs de se connecter à leurs systèmes en utilisant Facebook.

Les bogues logiciels étaient particulièrement délicats pour une entreprise fière de son ingénierie : les deux premiers ont été introduits par un outil en ligne destiné à améliorer la confidentialité des utilisateurs. Le troisième a été introduit en juillet 2017 par un outil destiné à télécharger facilement des vidéos d'anniversaire.

Concernant l’outil destiné à améliorer la confidentialité des utilisateurs, il s’agit de la fonctionnalité « Aperçu du profil en tant que », proposée par Facebook en juillet 2017. Elle permet aux utilisateurs de voir comment est affiché le profil à certaines catégories d’utilisateurs (amis, ne figurant pas dans la liste d’amis, personnes spécifiques dans sa liste d’amis).

Ce mois-là, la Commission irlandaise de protection des données (DPC), la principale autorité européenne de réglementation de la confidentialité sur Facebook, a annoncé avoir demandé plus d’informations sur la nature et l’ampleur de la violation ainsi que sur les résidents européens affectés. De plus, elle s’est déclarée « préoccupée par le fait que cette violation ait été découverte la semaine dernière et ait affecté plusieurs millions de comptes, mais que Facebook ne soit toujours pas capable d’en préciser la nature et les risques pour les utilisateurs ».

Après que l’incident est parvenu au grand public, cela a déclenché une vague de réactions dans le monde comme des poursuites judiciaires, une enquête du FBI et une conférence de presse donnée par directeur général de Facebook, Mark Zuckerberg, qui a déclaré : « C’est un problème de sécurité très grave, et nous le prenons très au sérieux ». Un groupe d’utilisateurs américains a par ailleurs formé un recours collectif contre Facebook et l’a accusé de négligence et de rupture de contrat en ne protégeant pas les informations privées qu’il a incité ses utilisateurs à lui fournir au cours de la dernière décennie. Les plaignants ont soutenu que Facebook n’avait rien fait pour empêcher la vulnérabilité, car il craignait que cela crée des problèmes techniques et nuise aux revenus. « Facebook a préféré l’argent à la sécurité », ont-ils allégué.

Des documents juridiques fournis lors du procès montrent que l’entreprise avait été avertie à maintes reprises par ses propres employés ainsi que par des personnes extérieures d’une faille qui pouvait être massivement exploitée par des pirates. Neuf mois avant la survenue du piratage en septembre 2018, des employés de Facebook ont interpellé leurs responsables, mais leurs alertes sont restées lettre morte. Facebook avait à plusieurs reprises omis de répondre de manière adéquate aux préoccupations soulevées dès décembre 2017 par ses propres ingénieurs qui craignaient que les jetons d’accès soient « faciles » à exploiter par les cybercriminels. C’est pourquoi lorsque l’incident est survenu, certains employés ont commencé à parler de leur sentiment de « culpabilité » et de leur « souffrance », car ils savaient que l’attaque « aurait pu être évitée ».

533 millions de comptes exposés

Le régulateur a enquêté sur Meta sur d'autres problèmes liés aux données.

La Commission irlandaise de la protection des données (DPC) a annoncé qu’elle avait ouvert une enquête pour déterminer si Facebook a violé les règles de protection des données, dans le cadre de la fuite qui aurait exposé les données personnelles d'environ 533 millions d'utilisateurs au début du mois d'avril 2021.

Le 3 avril 2021, un membre d'un forum de piratage a publié les numéros de téléphone et les données personnelles de centaines de millions d'utilisateurs de Facebook. Les données exposées comprennent les informations personnelles de plus de 533 millions d'utilisateurs Facebook de 106 pays, dont plus de 32 millions d'enregistrements sur les utilisateurs aux États-Unis, 11 millions sur les utilisateurs au Royaume-Uni, 6 millions sur les utilisateurs en Allemagne et près de 20 millions sur les utilisateurs en France. Il comprend leurs numéros de téléphone, identifiants Facebook, noms complets, lieux de résidence, anciens lieux de résidence, dates de naissance, biographies, situation matrimoniale et, dans certains cas, adresses e-mail.

Pour vérifier l’authenticité de ces enregistrements, certains médias ont examiné un échantillon des données divulguées et vérifié plusieurs enregistrements en faisant correspondre les numéros de téléphone des utilisateurs Facebook connus avec les identifiants répertoriés dans l'ensemble de données. Ils ont également vérifié les enregistrements en testant les adresses e-mail à partir de l'ensemble de données de la fonction de réinitialisation du mot de passe de Facebook, qui peut être utilisée pour révéler partiellement le numéro de téléphone d'un utilisateur.

La fuite de données a permis de constater que Mark Zuckerberg, le PDG de Facebook, utilise l'application Signal. Le numéro de téléphone de Zuckerberg faisait partie des données divulguées. Outre son numéro de contact, des données telles que son nom, son emplacement, les détails de son mariage, sa date de naissance et son identifiant Facebook ont également été divulgués, selon un rapport en ligne. Dave Walker, un chercheur en sécurité, a révélé que Zuckerberg utilise Signal, information qu’il a obtenu grâce au numéro de téléphone du Zuckerberg qui figurait parmi les données divulguées. C'est le numéro associé à son compte de la récente fuite sur Facebook », a publié l'expert en sécurité sur Twitter avec une capture d'écran du numéro de téléphone de Zuckerberg qui disait : « Mark Zuckerberg est sur Signal. »

Dans le cadre de la fuite du 3 avril, Facebook n'a pas informé son principal organisme de surveillance des données de l'UE lorsqu'il a découvert et corrigé le problème. La Commission irlandaise de la protection des données (DPC) l’aurait appris par la presse, comme tout le monde.

La commissaire irlandaise à la protection des données, Helen Dixon et le commissaire à la justice, Didier Reynders ont tous deux exhorté Facebook à coopérer rapidement et à partager les informations nécessaires. « Il est crucial de faire la lumière sur cette fuite qui a touché des millions de citoyens européens ». « Il appartient à l'autorité irlandaise de protection des données d'évaluer ce cas. La Commission reste disponible si un soutien est nécessaire. La situation devra également faire l'objet d'une analyse plus approfondie pour l'avenir. Des leçons doivent être tirées », a ajouté Dixon.

Déclaration de la Commission irlandaise de la protection des données à ce sujet

« La Commission irlandaise de la protection des données a lancé aujourd'hui une enquête d'autovolonté conformément à l'article 110 de la loi sur la protection des données de 2018 en relation avec de multiples rapports de médias internationaux, qui ont souligné qu'un ensemble de données personnelles d'utilisateurs de Facebook avait été mis à disposition sur Internet. Cet ensemble de données contiendrait des données personnelles relatives à environ 533 millions d'utilisateurs de Facebook dans le monde. La Commission irlandaise de la protection des données s'est entretenue avec Facebook Ireland au sujet de ce problème signalé, soulevant des questions relatives à la conformité au RGPD auxquelles Facebook Ireland a fourni un certain nombre de réponses.

« La Commission irlandaise de la protection des données, après avoir examiné les informations fournies par Facebook Ireland concernant cette affaire, est d'avis qu'une ou plusieurs dispositions du RGPD ou de la loi sur la protection des données de 2018 ont pu être, et/ou sont, violées en ce qui concerne les données à caractère personnel des utilisateurs de Facebook. Par conséquent, la Commission estime qu'il convient de déterminer si Facebook Ireland a respecté ses obligations, en tant que responsable du traitement des données, en ce qui concerne le traitement des données à caractère personnel de ses utilisateurs au moyen des fonctionnalités Facebook Search, Facebook Messenger Contact Importer et Instagram Contact Importer, ou si une ou plusieurs dispositions du RGPD ou de la loi sur la protection des données de 2018 ont été ou sont enfreintes par Facebook à cet égard ».

Source : Communiqué de la Commission irlandaise de la protection des données

Et vous ?

Que pensez-vous de l'amende infligée par le gendarme irlandais des données ?
Vous semblent-elles suffisamment dissuasives ?

Voir aussi :

L'UE ouvre une enquête après la faille de sécurité révélée par Facebook qui a compromis près de 50 millions de comptes Facebook
L'Irlande ouvre une enquête RGPD sur Facebook, suite à la fuite de données qui a exposé 533 millions de contacts, elle encourt une sanction financière allant jusqu'à 4 % de son chiffre d'affaires
Le Royaume-Uni inflige à Facebook une amende de 645 000 $ US pour le scandale Cambridge Analytica, une somme qu'il gagne en quelques minutes