En Europe, la Data Protection Commission (DPC), autorité irlandaise des données, est en première ligne pour réguler les grands acteurs américains, pour la plupart installés sur son territoire.
Et si celle- ci est fréquemment critiquée pour son manque de sévérité à leur égard.
Elle ne se prive pourtant pas de sanctionner.
De l’histoire ancienne
L’autorité a ainsi annoncé hier avoir infligé une sanction de 251 millions d’euros visant la société Meta, éditrice du réseau social Facebook. La sanction fait suite à une fuite de données ayant affecté le réseau social en 2018.
Au mois d’octobre de cette année, Facebook avait signalé publiquement cette fuite de données affectant ses utilisateurs, qui concernait les noms et adresse e-mail, numéro de téléphone, mais aussi des données personnelles relatives au genre, aux opinions religieuses, aux groupes Facebook auquel le compte était inscrit ainsi qu’à une partie des recherches effectuées par l’utilisateur sur le réseau social.
Cette fuite de données avait été rendue possible suite à l’exposition par Facebook des tokens d’accès utilisés par ces comptes Facebook. Un bug dans la fonctionnalité « aperçu de mon profil » (view as) était resté actif pendant 14 jours au cours du mois de septembre 2018. Avant d’être corrigé par les équipes de Facebook. Celle-ci constituait à l’époque l’une des premières fuites de données d’ampleur concernant un acteur américain. Et ce alors que le règlement européen sur la protection des données personnelles venait tout juste d’entrer en vigueur.
Des millions qui s’additionnent
Après plusieurs années d’instruction, l’autorité irlandaise a donc choisi de sanctionner. L’autorité estime que Facebook a manqué à son devoir l’obligeant à mettre en place « des mesures techniques et organisationnelles appropriées […] destinées à mettre en œuvre les principes relatifs à la protection des données ». Ce qui justifie selon la DPC une amende de 130 millions d’euros.
L’autorité estime également que Facebook n’a pas mis en œuvre des processus visant à s’assurer que « seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées ». Un grief qui justifie de prononcer une amende de 110 millions d’euros. Enfin, la DPC a également sanctionné des manquements de Facebook liés à son obligation de notification des autorités et utilisateurs sur la nature de la brèche. Ce qui a donné lieu à deux amendes supplémentaires de 8 millions et 3 millions d’euros.
Depuis plusieurs années, Meta est visée par de nombreuses sanctions infligées par la DPC. Au mois de mai 2023, la DPC avait notamment sanctionné Meta à hauteur de 1,2 milliard d’euros pour avoir transféré sans autorisation les données d’utilisateurs européens vers les États Unis.