La Commission irlandaise de protection des donnes (DPC) a inflig une amende de 251 millions d’euros (263 millions de dollars) Meta pour une dfaillance dans la protection des donnes qui a conduit au piratage de plus de 29 millions de comptes Facebook dans le monde.
En 2018, Facebook a en effet admis qu’une faille de scurit a potentiellement affect 90 millions de comptes et expos les donnes des utilisateurs pendant au moins 14 mois. Selon le rseau social, des hackers ont exploit une combinaison de trois bogues qui leur a permis de semparer de jetons daccs attribus des dizaines de millions de comptes dutilisateurs.
Lors dune confrence de presse qui s’est tenue l’poque, Facebook a indiqu avoir identifi la vulnrabilit aprs avoir remarqu un pic suspect de lactivit des utilisateurs. Lattaque a t dune grande chelle a inform lentreprise. Aprs des investigations, le rseau social sest rendu compte que des hackers ont exploit lAPI du site pour automatiser le processus de collecte des donnes dutilisateurs partir de leurs profils.
Le fait de ne pas intgrer les exigences en matire de protection des donnes tout au long du cycle de conception et de dveloppement peut exposer les individus des risques et des prjudices trs graves, y compris un risque pour les droits et liberts fondamentaux des individus , a dclar Graham Doyle, responsable des communications de la DPC.
Les profils Facebook peuvent contenir, et contiennent souvent, des informations sur des sujets tels que les croyances religieuses ou politiques, la vie ou l’orientation sexuelle, et d’autres sujets similaires qu’un utilisateur ne peut souhaiter divulguer que dans des circonstances particulires. En permettant l’exposition non autorise d’informations de profil, les vulnrabilits l’origine de cette violation ont entran un risque grave d’utilisation abusive de ces types de donnes , a-t-il ajout.
Ce qui s’est pass ?
En 2018, Meta a signal une faille de scurit qui a compromis plus de 29 millions de comptes Facebook dans le monde entier. Sur ces 29 millions de comptes, trois millions appartenaient des utilisateurs bass en Europe.
Une faille dans la fonction de tlchargement de vidos de Facebook a permis aux pirates d’accder plusieurs comptes sur la plateforme de mdias sociaux.
Les donnes personnelles concernes comprenaient les adresses lectroniques, les numros de tlphone, les lieux de travail, la date de naissance, la religion, le sexe, les messages publis sur la timeline, les groupes dont l’utilisateur tait membre et les donnes personnelles des enfants.
Meta Ireland et sa socit mre amricaine ont remdi la violation peu de temps aprs sa dcouverte, a dclar le DPC, et ont signal le problme au rgulateur en septembre 2018.
Meta galement condamn une amende
En septembre, la DPC a inflig une amende de 91 millions d’euros Meta pour n’avoir pas mis en place de mesures de protection des donnes relatives aux mots de passe des utilisateurs et pour avoir mis trop de temps alerter l’autorit de rgulation sur ce problme.
Une enqute a t lance en avril 2019 aprs que Meta Ireland a inform l’autorit de rgulation qu’elle avait stock par inadvertance certains mots de passe d’utilisateurs de mdias sociaux dans un format lisible sur son systme interne, a dclar la DPC dans un communiqu.
Graham Doyle a dclar que la violation, qui a eu lieu en janvier 2019, a affect 36 millions d’utilisateurs de Facebook et d’Instagram travers l’Espace conomique europen, qui comprend l’UE plus l’Islande, le Liechtenstein et la Norvge.
Le contenu du communiqu de presse de la DPC est prsent ci-dessous :
La Commission irlandaise de protection des donnes (DPC) a annonc aujourd’hui [17 dcembre 2024] ses dcisions finales la suite de deux enqutes sur Meta Platforms Ireland Limited ( MPIL ). Ces enqutes d’auto-volition ont t lances par la DPC la suite d’une violation de donnes personnelles, qui a t signale par MPIL en septembre 2018.
Cette violation de donnes a eu un impact sur environ 29 millions de comptes Facebook dans le monde, dont environ 3 millions taient bass dans l’UE/EEE. Les catgories de donnes caractre personnel concernes comprenaient : le nom complet de l’utilisateur, son adresse lectronique, son numro de tlphone, sa localisation, son lieu de travail, sa date de naissance, sa religion, son sexe, ses publications sur sa timeline, les groupes dont l’utilisateur tait membre et les donnes caractre personnel de ses enfants. La violation rsulte de l’exploitation par des tiers non autoriss de jetons d’utilisateur sur la plateforme Facebook. MPIL et sa socit mre amricaine ont remdi la violation peu de temps aprs sa dcouverte.
Les dcisions, prises par les commissaires la protection des donnes, M. Des Hogan et M. Dale Sunderland, comprennent un certain nombre de blmes et une injonction de payer des amendes administratives d’un montant total de 251 millions d’euros.
La DPC a soumis un projet de dcision au mcanisme de coopration du GDPR en septembre 2024, comme l’exige l’article 60 du GDPR[2]. Aucune objection n’a t souleve l’encontre du projet de dcision du CPD. Le DPC remercie les autorits de contrle de l’UE/EEE pour leur coopration et leur assistance dans cette affaire.
Les dcisions finales de la DPC font tat des constatations suivantes de violation du RGPD :
1. Dcision 1
- Article 33, paragraphe 3, du RGPD – En n’incluant pas dans sa notification de violation toutes les informations requises par cette disposition qu’elle aurait pu et d inclure. La DPC a rprimand MPIL pour ses manquements cette disposition et l’a condamne payer des amendes administratives d’un montant de 8 millions d’euros.
- Article 33, paragraphe 5, du RGPD – En omettant de documenter les faits relatifs chaque violation, les mesures prises pour y remdier, et de le faire d’une manire qui permette l’autorit de contrle de vrifier la conformit. La DPC a rprimand MPIL pour ses manquements cette disposition et l’a condamne payer des amendes administratives d’un montant de 3 millions d’euros.
2. Dcision 2
- Article 25, paragraphe 1, du RGPD – En ne veillant pas ce que les principes de protection des donnes soient protgs lors de la conception des systmes de traitement. La DPC a constat que MPIL avait enfreint cette disposition, lui a adress un blme et l’a condamne payer des amendes administratives d’un montant de 130 millions d’euros.
- Article 25, paragraphe 2 – En manquant leur obligation, en tant que responsables du traitement, de veiller ce que, par dfaut, seules les donnes caractre personnel ncessaires des finalits spcifiques soient traites. La DPC a constat que MPIL avait enfreint ces dispositions, lui a inflig un blme et l’a condamne payer des amendes administratives d’un montant de 110 millions d’euros.
La DPC publiera le texte intgral de la dcision et d’autres informations connexes en temps utile.
Cette affaire n’aurait probablement pas pris une telle proportion si Facebook avait gr la situation d’une manire diffrente. En effet, selon des documents publis lors du procs, Facebook avait t averti plusieurs reprises sur la faille de scurit qui a conduit la plus grande violation de donnes de son histoire. Neuf mois avant la survenue du piratage en septembre 2018, des employs de Facebook ont interpell leurs responsables, mais leurs avertissements taient presque tous ignors . Des messages internes ont galement montr les remords des employs et leurs sentiments de culpabilit face ces vnements.
Source : Communiqu de la Commission irlandaise de protection des donnes
Et vous ?
Quel est votre avis sur le sujet ?
Trouvez-vous que la dcision de la CPD est pertinente et justifie ?
Voir aussi :