La Data Protection Commission (DPC) irlandaise met ce jour Meta à l’amende. La maison-mère de Whatsapp et Facebook écope d’une amende de 91 millions d’euros d’amende pour de multiples infractions au RGPD pour avoir stocké « par inadvertance » les mots de passe d’utilisateurs en clair.
En mars 2019, Facebook reconnaissait avoir découvert qu’il stockait « certains mots de passe d’utilisateurs dans [ses] systèmes de stockage interne dans un format lisible ». Une légère erreur qui concernait quelques centaines de millions d’utilisateurs de Facebook, Facebook Lite et Instagram. Mais qu’on se rassure, le réseau social expliquait alors que « ces mots de passe n’ont jamais été visibles par quiconque en dehors de Facebook et nous n’avons rien trouvé à ce jour indiquant que quiconque en interne en a fait un usage abusif ou y a accédé indûment ».
La Cnil irlandaise ne l’entend pas de cette oreille. La DPC vient d’annoncer la clôture de la procédure lancée le mois suivant la révélation de cette faille. L’enquête devait vérifier si oui ou non Meta avait « mis en œuvre des mesures pour assurer un niveau de sécurité adapté aux risques associés au traitement des mots de passe » et s’il s’était conformé aux obligations de documentation et d’information.
Manquement à l’obligation d’assurer la sécurité des données
La réponse est non. Facebook n’avait pas à l’époque notifié la DPC de cette violation de données à caractère personnelle, et n’a pas non plus documenté cette violation, enfreignant l’article 33 du RGPD. Mais, pire encore, au terme de son enquête, le gendarme irlandais des données personnelles estiment que Meta « n’a pas utilisé de mesures techniques ou organisationnelles appropriées pour assurer une sécurité appropriée des mots de passe des utilisateurs contre le traitement non autorisé » et « n’a pas mis en œuvre de mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque, y compris la capacité à garantir la confidentialité continue des mots de passe des utilisateurs ».
Meta écope ainsi d’une amende de 91 millions d’euros pour ces quatre infractions au RGPD.