Irlande : Meta condamnée à 264 millions de dollars pour une fuite de données Facebook en 2018

La Commission irlandaise de protection des données (DPC) a infligé une amende de 251 millions d’euros (263,6 millions de dollars) à Meta pour des violations du Règlement général sur la protection des données (RGPD) suite à une violation de données personnelles survenue en 2018, affectant 29 millions de comptes Facebook.

Cette violation a été causée par l’exploitation de jetons d’accès d’utilisateurs par des tiers non autorisés, exposant des données sensibles telles que des noms, des adresses e-mail, des numéros de téléphone et des localisations, impactant même des enfants.

Bien que Facebook ait pris des mesures correctives immédiates après avoir découvert le bug dans sa fonction “Voir comme”, cet incident a tout de même enfreint plusieurs articles du RGPD.

Plus précisément, la DPC irlandaise indique que les violations du RGPD suivantes sont liées à cet incident :

• Article 33(3) : Détails de notification de violation incomplets → Amende de 8 millions d’euros
• Article 33(5) : Documentation insuffisante des faits et des remèdes de la violation → Amende de 3 millions d’euros
• Article 25(1) : Absence d’intégration de la protection des données dans la conception des systèmes → Amende de 130 millions d’euros
• Article 25(2) : Absence de limitation du traitement des données au strict nécessaire → Amende de 110 millions d’euros

Graham Doyle, commissaire adjoint de la DPC, a commenté : “Cette action d’exécution met en évidence comment le manque d’intégration des exigences en matière de protection des données tout au long du cycle de conception et de développement peut exposer les individus à des risques et dommages très sérieux, y compris un risque pour les droits et libertés fondamentaux.”

La DPC a promis de publier bientôt l’intégralité de la décision, offrant davantage d’informations au public.

En réponse à cette annonce, Meta a déclaré à BleepingComputer : “Cette décision concerne un incident survenu en 2018. Nous avons agi rapidement pour résoudre le problème dès qu’il a été identifié, et nous avons informé proactivement les personnes concernées ainsi que la Commission irlandaise de protection des données.”

“Nous avons un large éventail de mesures de protection des données de pointe pour protéger les utilisateurs sur nos plateformes.”

Meta trouve un accord en Australie

Aujourd’hui également, le Commissaire à l’information australien a annoncé que Meta avait accepté un règlement de 50 millions de dollars pour les utilisateurs australiens de Facebook affectés par l’incident Cambridge Analytica.

Ce règlement résout des violations de la vie privée en vertu de la Privacy Act de 1988 impliquant des données divulguées à l’application “This is Your Digital Life”, qui ont été potentiellement utilisées pour un profilage politique.

Les Australiens ayant eu un compte Facebook entre le 2 novembre 2013 et le 17 décembre 2015, ayant passé plus de 30 jours en Australie et ayant installé l’application Your Digital Life ou étant amis avec une personne qui l’a installée, sont éligibles à une compensation.

Des informations supplémentaires concernant le schéma de paiement sont disponibles sur la page de l’engagement exécutoire.

Meta a également fourni à BleepingComputer une déclaration distincte au sujet de cet événement, renonçant à ses pratiques passées : “Nous avons réglé cette affaire sans admission de culpabilité, car il est dans le meilleur intérêt de notre communauté et de nos actionnaires de clore ce chapitre concernant des allégations qui ne sont plus pertinentes par rapport au fonctionnement actuel des produits ou systèmes de Meta. Nous sommes impatients de continuer à offrir des services que les Australiens apprécient et en lesquels ils ont confiance, avec la protection de la vie privée en première ligne.”