La Commission irlandaise de protection des données (DPC pour Data Protection Commission) a infligé une amende de 17 millions d'euros à Meta pour 12 violations de données. Elle a déclaré que la société avait violé plusieurs articles du règlement général sur la protection des données (RGPD) de l'Union européenne en omettant « d'avoir mis en place des mesures techniques et organisationnelles appropriées qui lui permettraient de démontrer facilement les mesures de sécurité qu'elle a mises en œuvre dans la pratique pour protéger les données des utilisateurs de l'UE ».Le DPC a reçu les notifications de violation de données de Meta entre juin et décembre 2018. Avant d'annoncer l'amende, elle a consulté d'autres autorités européennes conformément aux directives du RGPD, car l'enquête était liée à un traitement « transfrontalier ».
Voici le communiqué de la Commission de protection des données quant à sa décision suite à une enquête concernant Meta (Facebook) :
« Le DPC a adopté aujourd'hui une décision infligeant une amende de 17 millions d'euros à Meta Platforms Ireland Limited (anciennement Facebook Ireland Limited) (« Meta Platforms »).
« La décision fait suite à une enquête menée par le DPC sur une série de douze notifications de violation de données qu'il a reçues au cours de la période de six mois entre le 7 juin 2018 et le 4 décembre 2018. L'enquête a examiné dans quelle mesure les plateformes de Meta se conformaient aux exigences des articles 5 du RGPD ( 1)(f), 5(2), 24(1) et 32(1) en ce qui concerne le traitement des données personnelles pertinentes pour les douze notifications de violation.
« À la suite de son enquête, le DPC a conclu que les plateformes de Meta avaient enfreint les articles 5(2) et 24(1) du RGPD. Le DPC a constaté que les Meta Platforms n'avaient pas mis en place les mesures techniques et organisationnelles appropriées qui lui permettraient de démontrer facilement les mesures de sécurité qu'elle a mises en œuvre dans la pratique pour protéger les données des utilisateurs de l'UE, dans le contexte des douze violations de données à caractère personnel.
« Étant donné que le traitement examiné constituait un traitement "transfrontalier", la décision du DPC était soumise au processus de codécision prévu à l'article 60 du RGPD et toutes les autres autorités de contrôle européennes étaient engagées en tant que co-décideurs. Alors que des objections au projet de décision du DCP ont été soulevées par deux des autorités européennes de contrôle, un consensus a été atteint grâce à un dialogue plus approfondi entre le DPC et les autorités de contrôle concernées. En conséquence, la décision du DPC représente les points de vue collectifs du DPC et de ses autorités de surveillance homologues dans toute l'UE ».
« Cette amende concerne les pratiques de tenue de registres de 2018 que nous avons mises à jour depuis, et non un manquement à la protection des informations des personnes », a déclaré un porte-parole de Meta. « Nous prenons au sérieux nos obligations en vertu du RGPD et examinerons attentivement cette décision à mesure que nos processus continueront d'évoluer ».
L'amende est une goutte d'eau dans l'océan pour Meta, qui a récolté 32,6 milliards de dollars de revenus publicitaires au dernier trimestre seulement. La sanction est dérisoire par rapport à une amende de 267 millions de dollars que le DPC a infligée l'année dernière après avoir déterminé que l'application Meta WhatsApp n'avait pas respecté les règles de transparence du RGPD.
Des pirates ont réussi à prendre le contrôle de dizaines de millions de comptes Facebook
Étant donné la période (des notifications en 2018), il est possible que cette décision concerne une affaire médiatisée de Facebook.
Le 28 septembre 2018, Facebook a révélé que près de 50 millions de comptes Facebook ont été compromis par une attaque dont les auteurs ont réussi à prendre le contrôle des comptes. La brèche de sécurité a été, selon les dires de l’entreprise, découverte le mardi 25 septembre et colmatée deux jours plus tard. Facebook a admis que le bogue aurait potentiellement exposé les données des utilisateurs pendant au moins 14 mois. En octobre de la même année, l'estimation du nombre d'utilisateurs affectés est passée de 50 millions à 90 millions de comptes.
La violation de sécurité était particulièrement grave, car les pirates ont volé des « jetons d’accès », une sorte de clé de sécurité permettant aux utilisateurs de rester connectés à Facebook via plusieurs sessions de navigation. Posséder un jeton permet à un attaquant de prendre le contrôle total du compte de la victime, y compris de se connecter à des applications tierces utilisant Facebook Login. Les attaquants auraient pu accéder à des applications telles que Spotify, Instagram et des centaines d'autres applications permettant aux utilisateurs de se connecter à leurs systèmes en utilisant Facebook.
Les bogues logiciels étaient particulièrement délicats pour une entreprise fière de son ingénierie : les deux premiers ont été introduits par un outil en ligne destiné à améliorer la confidentialité des utilisateurs. Le troisième a été introduit en juillet 2017 par un outil destiné à télécharger facilement des vidéos d'anniversaire.
Concernant l’outil destiné à améliorer la confidentialité des utilisateurs, il s’agit de la fonctionnalité « Aperçu du profil en tant que », proposée par Facebook en juillet 2017. Elle permet aux utilisateurs de voir comment est affiché le profil à certaines catégories d’utilisateurs (amis, ne figurant pas dans la liste d’amis, personnes spécifiques dans sa liste d’amis).
Ce mois-là, la Commission irlandaise de protection des données (DPC), la principale autorité européenne de réglementation de la confidentialité sur Facebook, a annoncé avoir...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.