Meta écope d'amendes en série, épisode 2654. Cette fois-ci, l'entreprise pait les pots cassés pour son manque de transparence et ses mesures de protections des données privées jugées insuffisantes.
En 2018, une faille de sécurité majeure avait secoué Facebook. Exploitée par des hackers, elle avait exposé les données personnelles de 29 millions d’utilisateurs à travers le monde, dont 3 millions résidant dans l’Union européenne. Six ans plus tard, Meta se voit présenter l'addition : la Commission irlandaise de protection des données (DPC, équivalent de la CNIL) vient d’infliger une amende de 251 millions d’euros. Cette sanction, qui s’inscrit dans le cadre du Règlement général sur la protection des données (RGPD), résonne comme un rappel des exigences croissantes en matière de sécurité et de responsabilité des plateformes numériques.
Une vieille faille lourde de conséquences
Retour en septembre 2018. À l’époque, la fonctionnalité « Aperçu du profil en tant que » comportait une vulnérabilité dont personne n’a connaissance… sauf celles et ceux qui l’ont exploitée. La faille en question avait ainsi permis à des hackers de générer des tokens, jetons d’accès sécurisés permettant de se connecter à des comptes Facebook sans identifiants.
Résultat : des dizaines de millions de profils avaient été compromis, les pirates ayant réussi à dérober une somme colossale d’informations sensibles, telles que des noms, adresses mail, numéros de téléphone, localisations, lieux de travail, dates de naissance, religions, et même des données personnelles d’enfants.
Au courant de la fuite dès le début, Facebook avait réagi rapidement. Début 2019, l’entreprise avait communiqué sur l’incident et confirmé avoir patché la vulnérabilité. Mais si la faille technique a bien été corrigée en temps et en heure, les conséquences juridiques, elles, viennent de se concrétiser. Aujourd’hui, la DPC reproche à Meta des manquements graves aux principes établis par le RGPD, adopté peu de temps avant le piratage.
La décision de la DPC, fruit de plusieurs années d’enquête, met en lumière quatre infractions majeures. D’abord, Meta n’aurait pas fourni tous les détails requis lors de la notification de la violation (article 33[3] du RGPD), ce qui lui vaut une amende de 8 millions d’euros. Ensuite, l’absence de documentation précise sur les faits et les mesures correctives prises (article 33[5]) est sanctionnée à hauteur de 3 millions d’euros.
Mais les critiques les plus lourdes concernent le manque de protection des données à la conception (article 25[1]), une négligence à l’origine d’une amende de 130 millions d’euros. Enfin, l’absence de mesures limitant par défaut le traitement des données personnelles à ce qui était strictement nécessaire (article 25[2]) coûte à Meta 110 millions d’euros.
Montant total de la facture : 251 millions d’euros.
Sanction exemplaire ou punition symbolique ?
Bien qu’elle ait été infligée avec six ans de retard, cette amende est loin d’être anodine. Elle rappelle aux entreprises l’importance de considérer la protection des données comme un pilier de leur activité, et non comme une contrainte secondaire. Pour autant, ce montant représente une broutille pour Meta, dont le chiffre d’affaires plafonnait à 135 milliards de dollars en 2023.
Les enjeux se situent donc principalement ailleurs. À travers des cas comme celui-ci, les régulateurs européens cherchent surtout à asseoir leur crédibilité face aux GAFAM, qui ont encore du mal à s’accommoder des lois propres à l’Union européenne. Dernier exemple en date : Google réticent à se soumettre au DMA, suggérant en filigrane que le mieux serait… d’assouplir le DMA.
Mais revenons à nos moutons. À contrecœur, Meta a accepté l’amende tout en défendant ses efforts en matière de sécurité. Dans une déclaration déposée auprès de nos confrères et consœurs de Bleeping Computer, l’entreprise affirme avoir pris des mesures correctives « immédiates pour résoudre le problème dès qu'il a été identifié, et [avoir] informé de manière proactive les personnes concernées, ainsi que la Commission irlandaise de protection des données ». Et d’insister sur sa bonne foi et son engagement, arguant qu’elle avait « mis en place un large éventail de mesures de pointe pour protéger les internautes sur [ses] plateformes ».
Malgré tout, il en faudra plus pour convaincre les régulateurs – comme les internautes –, toujours sceptiques face à des pratiques jugées plus réactives que proactives.
Hasard du calendrier ou mauvais karma, Meta vient également d’allonger 50 millions de dollars supplémentaires en Australie. Cet accord d’indemnisation a été conclu en faveur des Australiens possédant un compte entre novembre 2013 et décembre 2015, dont les données avaient été divulguées à une application tierce, potentiellement à des fins de profilage politique, dans le cadre de l’affaire Cambridge Analytica.
Sources : DPC, Bleeping Computer
28 septembre 2024 à 10h33
