Meta, la maison mère de Facebook, Instagram et WhatsApp, a écopé, vendredi 27 septembre, d’une amende de 91 millions d’euros du régulateur irlandais pour avoir enfreint le règlement général sur la protection des données (RGPD) en manquant de transparence après une faille de sécurité affectant les mots de passe des utilisateurs.
Dans cette nouvelle décision, la Commission de protection des données (DPC) irlandaise, qui agit pour le compte de l’Union européenne (UE), reproche à Meta de n’avoir pas mis en place des mesures de sécurité appropriées en amont, mais aussi d’avoir mis trop de temps à l’informer du problème. La DPC avait lancé une enquête en avril 2019 après avoir été informée par Meta Irlande du stockage « par inadvertance » de « certains mots de passe d’utilisateurs » en clair, c’est-à-dire non cryptés, sans que ceux-ci aient « été communiqués à des parties externes », explique-t-elle dans un communiqué.
La faille de sécurité remonte à janvier 2019 et a touché 36 millions d’utilisateurs de Facebook et Instagram dans l’espace économique européen, a précisé à l’Agence France-Presse (AFP) Graham Doyle, responsable de la communication du régulateur irlandais. La DPC reproche à Meta de ne l’avoir informée du problème qu’en mars 2019. « Il est largement admis que les mots de passe des utilisateurs ne doivent pas être stockés en clair », a insisté Graham Doyle.
Bénéfice net en forte hausse
Meta reconnaît, de son côté, dans une déclaration transmise à l’AFP, que certains mots de passe d’utilisateurs ont été « temporairement enregistrés dans un format lisible dans nos systèmes de données internes ». L’entreprise assure avoir « pris des mesures immédiates pour corriger cette erreur », ajoutant qu’il n’y a « aucune preuve que ces mots de passe [aient] été utilisés de manière abusive ou consultés de manière inappropriée ». L’entreprise jure avoir « signalé ce problème de manière proactive » et avoir « collaboré de manière constructive tout au long de cette enquête ».
Le groupe est régulièrement mis en cause dans l’UE pour le traitement de données personnelles de ses utilisateurs contraire à la réglementation européenne RGPD, lancée en 2018 pour protéger les consommateurs face à la domination de géants de la tech.
Bien que nombreuses, ces condamnations semblent peu dissuasives. En septembre 2021, le groupe écope de 225 millions d’euros d’amende pour son manque de transparence dans « le traitement des informations entre WhatsApp et d’autres compagnies de Facebook ». En mars 2022, il reçoit une amende de 17 millions d’euros pour avoir échoué à mettre en place des mesures de protection des données. Nouvelle punition financière en septembre 2022, avec une amende record de 405 millions d’euros pour des manquements dans le traitement des données des mineurs ; puis en novembre 2022 avec 265 millions d’euros pour n’avoir pas protégé suffisamment les données des utilisateurs de Facebook.
En janvier 2023, le groupe reçoit deux nouvelles amendes totalisant 390 millions d’euros pour avoir violé « ses obligations en matière de transparence » et pour son traitement des données personnelles « à des fins de publicité » ciblée. Dernière amende en date quelques jours plus tard : 5,5 millions pour un manque de transparence concernant WhatsApp.
Le bénéfice net de Meta a grimpé de 73 % sur un an, à 13,5 milliards de dollars (environ 12 milliards d’euros) au deuxième trimestre, pour un chiffre d’affaires de 39 milliards de dollars, en hausse de 22 %, hausse supérieure à ses propres attentes.