La Commission irlandaise de protection des données ne laisse rien passer quand il s'agit de celles des utilisateurs. Meta vient d'en faire les frais. 4 ans après avoir découvert, lors d'un audit, le stockage en clair des mots de passe de centaines de millions d'utilisateurs, le géant des réseaux sociaux s'est fait épingler pour violation du RGPD. Montant de l'ardoise : 91 millions d'euros.
L'affaire remonte à 2019, quand Facebook, pas encore rebaptisé Meta, avait reconnu du bout des lèvres avoir stocké « par erreur » les mots de passe de certains utilisateurs en clair sur ses serveurs. Un mois plus tard, rebelote : l'entreprise admettait que des millions de mots de passe Instagram étaient également concernés.
Selon un employé, ce sont même jusqu'à 600 millions de comptes qui avaient été touchés, certains mots de passe traînant en clair depuis 2012. Il n'en fallait pas moins à la Commission irlandaise de protection des données (DPC) pour accuser le futur Meta de violation flagrante du sacro-saint RGPD européen.
Une négligence qui coûte cher
Pendant des années, les mots de passe de centaines de millions d'utilisateurs ont été stockés sans la moindre protection sur les serveurs de l'entreprise. Si l'on ajoute à cela qu'ils étaient accessibles à plus de 20 000 employés de Facebook, et également à la merci des hackers ou collaborateurs malveillants, il y a de quoi tomber de l'armoire.
Il n'existe pas, à notre connaissance, un expert en cybersécurité qui ne vous exhortera pas à chiffrer vos mots de passe. Le stockage en clair, on oublie. C'est le b.a.-ba de la protection des données personnelles. On a du mal à comprendre, dans le cas de Meta, qui doit pourtant disposer d'une armada de spécialistes en sécurité et d'un budget ad hoc rondelet, comment une telle négligence a pu être possible, et aussi longtemps.
La Commission irlandaise de protection des données n'a pas manqué de le souligner dans sa décision. Elle a épinglé Meta pour plusieurs violations du RGPD : non-notification de la faille dans les délais, absence de documentation adéquate, et surtout, manquement à l'obligation d'utiliser des mesures techniques appropriées pour garantir la sécurité des données.
Le RGPD, un tournant pour la protection des données
L'affaire Meta est un exemple, s'il en fallait un, que le Règlement général sur la protection des données (RGPD) était nécessaire. Avant sa mise en place en 2018, les entreprises pouvaient souvent s'en tirer avec un simple « Oups, désolé » en cas de fuite de données. Aujourd'hui, les excuses ne suffisent plus. Pire, elles sont inefficaces.
Le RGPD a introduit des obligations strictes en matière de protection des données personnelles. Les entreprises doivent non seulement prendre des mesures techniques adéquates pour sécuriser les informations, mais aussi notifier rapidement toute violation et documenter scrupuleusement leurs pratiques. C'est sur l'ensemble de ces points que la DPC accuse Meta d'avoir failli.
Mais le RGPD n'a pas qu'un rôle de censeur. L'un de ses objectifs vise à responsabiliser les entreprises dans leur gestion des données personnelles. Il ne s'agit pas seulement d'éviter les fuites, mais aussi de repenser fondamentalement la façon dont les informations sont collectées, stockées et utilisées.
C'est une notion que Meta, malgré ses déclarations d'intention, semble avoir du mal à intégrer. On ignore si c'est la raison pour laquelle la DPC a assorti la sanction financière d'un blâme.
Source : Engadget