La Data Protection Commission irlandaise reproche à Facebook de ne pas avoir correctement sécurisé les données de ses utilisateurs à la suite du lancement d’une nouvelle fonctionnalité en 2017, mais aussi de ne pas avoir communiqué à l’époque de manière claire et exhaustive sur cette violation de données qui avait affectée 29 millions d’utilisateurs.
En octobre 2018, encore empêtré dans le scandale Cambridge Analytica, Facebook révélait avoir constaté l’exploitation d’une vulnérabilité de la fonctionnalité « Afficher en tant que » du réseau social. Profitant de cette faille introduite un an plus tôt par le lancement d’une autre fonctionnalité, des personnes malintentionnées avaient, entre le 14 et le 28 septembre 2018, automatisé le vol de tokens et, par extension, des données des utilisateurs de la plateforme.
29 millions de comptes étaient concernés, dont 3 millions en Europe, nous apprend la décision publiée hier par la DPC irlandaise. Avaient fuité les noms complets des utilisateurs, adresses mail, numéros de téléphone, localisations, lieux de travail, religions, genres, situations familiales, ainsi que toutes les publications et groupes des utilisateurs victimes.
La protection des données personnelles, pas une priorité
Six ans plus tard, le gendarme irlandais des données personnelles estime que Meta, maison-mère de Facebook, avait enfreint la réglementation en matière de protection des données personnelles. D’abord en ne documentant pas suffisamment la violation de données dans sa notification aux autorités, ce qui lui vaut deux amendes administratives de 8 et 3 millions d’euros.
Surtout, au titre de l’article 25 du RGPD, Meta n’a pas veillé à ce que « les principes de la protection des données soient intégrés dans la conception des systèmes de traitement » et ne s’est pas acquitté de ses obligations, en tant que responsable de traitement, de s’assurer que les traitements ne concernent que « les seules données personnelles nécessaires à des fins spécifiques ». Ces deux manquements valent à Meta une douloureuse de 240 millions d’euros, pour un total de 251 millions.
