- Meta a été sanctionnée d’une amende de 251 millions d’euros au titre du RGPD
- Cette sanction fait suite à une violation des données de Facebook en 2018
- La Commission irlandaise de protection des données n’a pas encore perçu de nombreuses amendes
Meta a récemment été frappée par une nouvelle amende liée au RGPD, le groupe parent de Facebook, Instagram et WhatsApp se voyant imposer une pénalité de 251 millions d’euros (environ 263 millions de dollars) en raison d’une violation de données survenue en 2018, affectant environ 29 millions de comptes Facebook dans le monde, dont 3 millions d’utilisateurs basés dans l’UE.
La Commission de protection des données d’Irlande (DPC) est un des organismes régulateurs majeurs en Europe, jouant un rôle clé pour tenir les entreprises technologiques responsables. Elle a notamment infligé des amendes significatives pour des violations du RGPD, y compris la plus importante amende jamais prononcée sous ce règlement, s’élevant à 1,3 milliard de dollars, également à l’encontre de Meta, pour la gestion des données.
Les violations les plus récentes concernent une attaque où des acteurs malveillants ont utilisé la fonction « voir comme », qui permet habituellement aux utilisateurs de visualiser à quoi ressemble leur compte pour leurs amis et leur famille, afin de dérober des jetons d’accès et ainsi prendre le contrôle des comptes des utilisateurs.
Des millions d’utilisateurs concernés
Parmi les utilisateurs dont les jetons ont été volés, 15 millions ont vu leurs numéros de téléphone et adresses e-mail exposés, tandis que 14 millions d’autres ont également vu leurs noms d’utilisateur, leur sexe, leur statut relationnel et leurs check-ins de localisation divulgués. Un million d’utilisateurs ciblés n’ont pas eu de données compromises.
Suite à cette violation, la DPC a constaté que Facebook avait enfreint le RGPD en ne fournissant pas suffisamment d’informations dans sa notification de violation, en ne documentant pas correctement les faits de l’incident. De plus, la DPC a jugé que la société avait échoué à assurer la protection des principes de protection des données, ne respectant pas son « obligation en tant que responsable de traitement » de garantir que seules les données personnelles nécessaires soient traitées.
« Cette action d’application souligne comment le manquement à intégrer les exigences de protection des données tout au long du cycle de conception et de développement peut exposer les individus à des risques et préjudices très graves, y compris un risque pour les droits et libertés fondamentaux des personnes », a déclaré Graham Doyle, commissaire de la DPC.
Cette amende peut sembler conséquente, et elle l’est, mais la réalité des amendes RGPD n’est pas toujours aussi simple. À ce jour, seulement 1 % de ces amendes infligées par la DPC ont été perçues, ce qui laisse penser que cette sanction pourrait également se retrouver embourbée dans un processus d’appel indéfini.
Vous pourriez également apprécier
Bon à savoir
- Le RGPD a été mis en place pour protéger les données personnelles des citoyens de l’Union Européenne.
- Les organisations ont l’obligation de signaler toute violation de données dans un délai de 72 heures.
- Les amendes RGPD peuvent s’élever jusqu’à 4 % du chiffre d’affaires mondial annuel d’une entreprise.