Facebook ne sortira peut-être pas indemne de la fuite de données de 533 millions de ses utilisateurs. En effet, la Commission irlandaise de protection des données (DPC) vient de lancer une enquête à l’encontre du réseau social pour déterminer si l’incident constitue une violation du Règlement général sur la protection des données (RGPD).
Pour rappel, la DPC est l'entité de régulation chargée de surveiller le comportement de Facebook en Europe en matière de protection des données.
20 millions de Français touchés
L’enquête a été entamée « en vertu de l'article 110 de la loi sur la protection des données de 2018 suite à de multiples rapports de médias internationaux, qui ont souligné qu'un ensemble d’informations compris de données personnelles d'utilisateurs de Facebook avait été mis en ligne sur Internet », écrit la DPC.
Près de 20 millions de Français ont été touchés par cette fuite de données. En conséquence, leur numéro de téléphone, adresse mail, lieu de travail ou encore ville de résidence se sont retrouvés sur des forums de hackers. Facebook a expliqué que le réseau social n’avait pas été hacké à proprement parler, mais que les pirates avaient plutôt exploité une faille de sécurité leur permettant de se procurer les données. La firme a par ailleurs qualifié cette affaire de « vieille histoire » et a assuré avoir corrigé la vulnérabilité concernée en 2019.
Le régulateur veut savoir si Facebook a manqué à ses obligations
Le régulateur irlandais continue : « La Commission estime qu'il convient de déterminer si Facebook a respecté ses obligations, en tant que responsable du traitement des données, dans le cadre du traitement des données à caractère personnel de ses utilisateurs ». Ces obligations comprennent notamment le fait de devoir informer l’agence de protection des données, mais également les personnes victimes de la fuite de données.
Sur ce dernier point, Facebook botte en touche. Contacté par Reuters, un porte-parole de l’entreprise a déclaré qu’elle ne souhaitait pas notifier les utilisateurs concernés car, en bref, ils ne peuvent plus rien faire à propos du leak. Pourtant, ces personnes sont désormais sujettes à des arnaques, au phishing et au vol d’identité. « La DPC, après avoir examiné les informations fournies par Facebook concernant cette affaire, est d'avis qu'une ou plusieurs dispositions du RGPD et/ou de la loi sur la protection des données de 2018 ont pu être, et/ou sont, violées en ce qui concerne les données personnelles des utilisateurs de Facebook », affirme la Commission.
Si Facebook est tenu pour responsable, la plateforme risque une amende allant jusqu’à 4 % de son chiffre d'affaires annuel.
Source : CNet, Data Protection Commission