Le groupe Meta, maison mère de Facebook, a été condamné à une amende de 251 millions d’euros par la Commission pour la protection des données (DPC) irlandaise, à la suite d’une fuite de données qui avait touché 29 millions de comptes Facebook, en 2018. Le régulateur irlandais, chargé de contrôler le respect par Meta de la législation au nom de l’Union européenne (le siège européen de la société est installé à Dublin), sanctionne la compagnie après une enquête sur cette faille.
Les pirates avaient eu accès aux noms et aux informations de contact (numéro de téléphone ou adresse e-mail) de 15 millions de personnes. Pour les 14 millions de personnes supplémentaires, ils avaient récupéré des données personnelles telles que « le nom d’utilisateur, le genre, la langue, le statut marital, la religion, la ville d’origine, la ville actuelle, la date de naissance, les informations relatives à l’éducation et au travail, les dix derniers endroits où un utilisateur s’est géolocalisé ou a été identifié, les pages qu’il suit, et les quinze recherches les plus récentes », rapportait le communiqué publié à l’époque par Meta.
Pour obtenir ces données, les cybercriminels avaient exploité des bugs dans la fonction « View as » (« voir en tant que »). Celle-ci pouvait générer par erreur des clés numériques de connexion, appelées en anglais « access tokens », permettant de rester connecté sans avoir à rentrer son mot de passe à chaque fois. Les pirates sont arrivés à s’emparer de ces clés, leur donnant accès aux comptes comme s’ils en étaient les titulaires.
Selon le régulateur, cette faille a duré quatorze jours, entre le 14 et le 28 septembre 2018, et a été corrigée par la compagnie peu après sa découverte. Mais le régulateur a estimé que Meta Irlande n’avait pas suffisamment protégé les données de ses utilisateurs, et ne s’était pas montré suffisamment coopératif dans le signalement de ces failles, contrairement aux obligations du règlement général sur la protection des données (RGPD).
Une longue série d’amendes
Meta est régulièrement mis en cause pour non-respect du RGPD. Le régulateur irlandais lui a imposé de nombreuses amendes depuis 2021, dont une record de 1,2 milliard d’euros en mai 2023 pour des manquements dans le traitement des données personnelles. La dernière amende en date, datant de septembre 2024, sanctionnait de 91 millions d’euros une faille de sécurité affectant les mots de passe des utilisateurs.
Le groupe avait – entre autres – été sanctionné d’une amende de 225 millions d’euros en 2021, déjà pour manque de transparence ; d’une autre de 405 millions en 2022, pour des manquements dans le traitement des données des mineurs ; d’une autre de 265 millions la même année, pour un déficit de protection des données ; ou bien d’une amende de 390 millions en 2023, encore pour des problèmes de transparence.
Pas de quoi pour autant grever les comptes de l’entreprise. Meta vient d’annoncer 40,6 milliards de dollars (38,7 milliards d’euros) de chiffre d’affaires au troisième trimestre, dont 15,7 milliards de dollars de bénéfices, supérieur aux attentes du marché.