Un régulateur irlandais chargé de veiller à la confidentialité des données au sein de l’Union européenne a infligé mardi une amende de 251 millions d’euros à Meta, la société mère de Facebook, en raison d’une défaillance en matière de protection des données ayant conduit au piratage de comptes utilisateurs.
La Commission de la protection des données (DPC) a pointé du doigt Meta pour une vulnérabilité de la fonction d’importation de vidéos, exploitée par des hackers pour accéder intégralement à d’autres profils Facebook.
Pendant une période de deux semaines en 2018, des utilisateurs non autorisés ont pu s’introduire dans environ 29 millions de comptes Facebook dans le monde, dont trois millions situés dans l’UE.
Les données personnelles compromises comprenaient des adresses électroniques, des numéros de téléphone, des localisations et des lieux de travail.
“L’absence d’intégration des exigences de protection des données tout au long du cycle de conception et de développement expose les individus à des risques et préjudices très graves, y compris une atteinte aux droits et libertés fondamentaux,” a déclaré Graham Doyle, responsable de la communication du régulateur.
“En permettant une exposition non autorisée des informations de profil, les vulnérabilités à l’origine de cette violation ont suscité un risque sérieux d’utilisation abusive de ces données,” a-t-il ajouté.
Meta Ireland, ainsi que sa société mère américaine, a rapidement remédié à la brèche dès sa découverte, selon la DPC, qui a été informée du problème en septembre 2018.
“Nous avons pris des mesures immédiates pour corriger le problème dès qu’il a été identifié et avons informé de manière proactive les personnes touchées ainsi que la Commission de protection des données irlandaise,” a déclaré un porte-parole de Meta.
Répression des grandes entreprises technologiques
Il s’agit de la dernière amende dans une série annoncée à l’encontre de ce géant des réseaux sociaux et de ses concurrents, alors que les régulateurs du monde entier cherchent à encadrer les grandes entreprises technologiques en matière de confidentialité, de concurrence, de désinformation et de fiscalité.
L’UE est à la pointe de cette régulation, avec son Règlement général sur la protection des données, entrée en vigueur en 2018 pour protéger les consommateurs européens contre les violations de données personnelles.
De nombreuses entreprises technologiques mondiales, telles que Google, Apple et Meta, établissent leurs opérations européennes à Dublin, séduites par le taux d’imposition des sociétés en Irlande.
En conséquence, l’agence de protection des données irlandaise est le régulateur principal responsable de les tenir responsables.
Les amendes successives infligées par la DPC à Meta pour des violations de données touchant ses services Instagram, WhatsApp et Facebook sont négligeables comparées aux bénéfices plurimilliardaires du géant technologique.
En septembre, la DPC a infligé à Meta une amende de 91 millions d’euros pour ne pas avoir mis en place les mesures de protection des données des mots de passe des utilisateurs et pour avoir tardé à alerter le régulateur sur le problème.
Cela fait suite à deux grandes victoires juridiques de la Commission européenne dans des affaires distinctes qui ont laissé Apple et Google redevables de milliards d’euros.
Le régulateur a également récemment infligé à LinkedIn, propriété de Microsoft, sa première amende européenne : une pénalité de 310 millions d’euros pour des violations de données personnelles en lien avec la publicité ciblée.
Bon à savoir
- La DPC a été mise en place pour superviser les pratiques de protection des données en Irlande, un pays où de nombreux géants du numérique choisissent de s’implanter.
- Les violations de données personnelles peuvent entraîner des conséquences significatives, non seulement pour les utilisateurs, mais aussi pour les entreprises concernées.
- Les sanctions financières peuvent servir d’alerte pour d’autres entreprises technologiques en matière de conformité aux régulations sur la protection des données.