Meta condamné à une amende de 251 millions d’euros par la DPC pour la violation de données de 2018


Principaux renseignements

  • La Commission irlandaise de protection des données (DPC) a imposé une amende de 251 millions d’euros à Meta Platforms pour une violation de données en 2018 affectant environ 29 millions de comptes Facebook.
  • La vulnérabilité de la fonction « Voir en tant que » de Facebook a permis à des personnes non autorisées d’exploiter les jetons d’accès des utilisateurs et d’accéder à des données sensibles, notamment des noms, des adresses électroniques, des numéros de téléphone, des sexes, des lieux et des détails personnels liés aux enfants des utilisateurs.
  • Meta a été critiqué pour n’avoir pas veillé à ce que des pratiques appropriées de traitement des données soient intégrées dans la phase de conception de ses plates-formes.

La Commission irlandaise de protection des données (DPC) a imposé une amende de 251 millions d’euros à Meta Platforms, la société mère de Facebook, en raison d’une violation de données en 2018 qui a compromis les informations des utilisateurs. La violation a touché environ 29 millions de comptes Facebook dans le monde, dont environ 3 millions dans l’Union européenne et l’Espace économique européen.

Causes et conséquences

La faille provient de faiblesses dans la fonction « Voir en tant que » de Facebook, ce qui a permis à des personnes non autorisées d’exploiter les jetons d’accès des utilisateurs et d’accéder à des données sensibles. Les informations compromises comprenaient des noms, des adresses électroniques, des numéros de téléphone, des sexes, des lieux et même des détails personnels concernant les enfants des utilisateurs. Alors que Meta estimait initialement que 50 millions de comptes étaient touchés, l’enquête de la DPC a révélé un chiffre plus proche de 29 millions, l’accès non autorisé ayant eu lieu entre le 14 et le 28 septembre 2018.

Enquête et conclusions

L’enquête a mis en évidence de multiples violations du règlement général sur la protection des données (RGPD) par Meta. La DPC a cité des problèmes tels que des informations incomplètes fournies au cours du processus de notification de la violation et une documentation inadéquate concernant l’occurrence de la violation et les efforts d’atténuation. En particulier, il a été reproché à Meta de ne pas avoir veillé à ce que des pratiques adéquates de traitement des données soient intégrées dans la phase de conception.

L’enquête a mis en évidence de multiples violations du RGPD par Meta. La DPC a cité des problèmes tels que des informations incomplètes fournies au cours du processus de notification de la violation et une documentation inadéquate concernant l’occurrence de la violation et les efforts d’atténuation. En particulier, il a été reproché à Meta de ne pas avoir veillé à ce que des pratiques appropriées de traitement des données soient intégrées dans la phase de conception.

La surveillance réglementaire

Graham Doyle, commissaire adjoint de la DPC, a souligné la gravité de l’exposition des informations personnelles et la manière dont le fait de négliger les exigences en matière de protection des données au cours du développement peut entraîner des risques et des préjudices graves. À la suite de la violation, Meta a déclaré avoir immédiatement réglé le problème en corrigeant la vulnérabilité et en informant de manière proactive les utilisateurs concernés et la Commission irlandaise de protection des données. Elle a également affirmé son engagement à renforcer les mesures de protection des données sur l’ensemble de ses plateformes.

Cette amende est un autre exemple de l’histoire de Meta, qui a été confrontée à un examen réglementaire pour violation de la protection des données. Au début de l’année, la DPC a imposé une amende de 91 millions d’euros à Meta pour des lacunes dans la protection des mots de passe, ce qui porte le total des amendes liées au GDPR à près de 3 milliards d’euros.

Opinion d’expert

Les experts estiment que cette décision constitue un rappel important pour toutes les entreprises opérant au sein de l’UE quant à l’importance de la conformité au GDPR. Ils soulignent la nécessité de mesures proactives et de transparence en matière de protection des données, exhortant les organisations à aller au-delà des exigences minimales et à intégrer la protection des données dans leurs opérations et stratégies de base.

La DPC prévoit de publier prochainement des informations détaillées sur la décision et le raisonnement qui sous-tend l’amende, afin d’éclairer les autres organisations sur leurs obligations en matière de GDPR. Meta a fait appel de l’amende, démontrant ainsi son engagement à remettre en question les problèmes de conformité et à défendre ses stratégies de protection des données renforcées. Toutefois, cette affaire souligne le sérieux avec lequel les régulateurs européens considèrent les violations des normes de protection des données.

Impact et pertinence

Cette sanction importante et les antécédents de Meta mettent en lumière le débat en cours sur la protection de la vie privée. Elle sert non seulement de catalyseur pour les réformes réglementaires, mais incite également les consommateurs à exiger une plus grande responsabilité et une plus grande transparence de la part des géants de la technologie.

Si vous souhaitez accéder à tous les articles, abonnez-vous ici!

Plus