La Commission irlandaise de protection des données (DPC) a infligé une amende de 251 millions d'euros (263 millions de dollars) à Meta pour une défaillance dans la protection des données qui a conduit au piratage de plus de 29 millions de comptes Facebook dans le monde.En 2018, Facebook a en effet admis qu'une faille de sécurité a potentiellement affecté 90 millions de comptes et exposé les données des utilisateurs pendant au moins 14 mois. Selon le réseau social, des hackers ont exploité une combinaison de trois bogues qui leur a permis de s’emparer de jetons d’accès attribués à des dizaines de millions de comptes d’utilisateurs.
Lors d’une conférence de presse qui s'est tenue à l'époque, Facebook a indiqué avoir identifié la vulnérabilité après avoir remarqué un pic suspect de l’activité des utilisateurs. L’attaque a été d’une grande échelle a informé l’entreprise. Après des investigations, le réseau social s’est rendu compte que des hackers ont exploité l’API du site pour automatiser le processus de collecte des données d’utilisateurs à partir de leurs profils.
« Le fait de ne pas intégrer les exigences en matière de protection des données tout au long du cycle de conception et de développement peut exposer les individus à des risques et des préjudices très graves, y compris un risque pour les droits et libertés fondamentaux des individus », a déclaré Graham Doyle, responsable des communications de la DPC.
« Les profils Facebook peuvent contenir, et contiennent souvent, des informations sur des sujets tels que les croyances religieuses ou politiques, la vie ou l'orientation sexuelle, et d'autres sujets similaires qu'un utilisateur ne peut souhaiter divulguer que dans des circonstances particulières. En permettant l'exposition non autorisée d'informations de profil, les vulnérabilités à l'origine de cette violation ont entraîné un risque grave d'utilisation abusive de ces types de données », a-t-il ajouté.
Ce qui s'est passé ?
En 2018, Meta a signalé une faille de sécurité qui a compromis plus de 29 millions de comptes Facebook dans le monde entier. Sur ces 29 millions de comptes, trois millions appartenaient à des utilisateurs basés en Europe.
Une faille dans la fonction de téléchargement de vidéos de Facebook a permis aux pirates d'accéder à plusieurs comptes sur la plateforme de médias sociaux.
Les données personnelles concernées comprenaient les adresses électroniques, les numéros de téléphone, les lieux de travail, la date de naissance, la religion, le sexe, les messages publiés sur la timeline, les groupes dont l'utilisateur était membre et les données personnelles des enfants.
Meta Ireland et sa société mère américaine ont remédié à la violation peu de temps après sa découverte, a déclaré le DPC, et ont signalé le problème au régulateur en septembre 2018.
Meta également condamné à une amende
En septembre, la DPC a infligé une amende de 91 millions d'euros à Meta pour n'avoir pas mis en place de mesures de protection des données relatives aux mots de passe des utilisateurs et pour avoir mis trop de temps à alerter l'autorité de régulation sur ce problème.
Une enquête a été lancée en avril 2019 après que Meta Ireland a informé l'autorité de régulation qu'elle avait « stocké par inadvertance certains mots de passe d'utilisateurs de médias sociaux » dans un format lisible sur son système interne, a déclaré la DPC dans un communiqué.
Graham Doyle a déclaré que la violation, qui a eu lieu en janvier 2019, a affecté 36 millions d'utilisateurs de Facebook et d'Instagram à travers l'Espace économique européen, qui comprend l'UE plus l'Islande, le Liechtenstein et la Norvège.
Le contenu du communiqué de presse de la DPC est présenté ci-dessous :
La Commission irlandaise de protection des données (DPC) a annoncé aujourd'hui [17 décembre 2024] ses décisions finales à la suite de deux enquêtes sur Meta Platforms Ireland Limited (« MPIL »). Ces enquêtes d'auto-volition ont été lancées par la DPC à la suite d'une violation de données personnelles, qui a été signalée par MPIL en septembre 2018.
Cette violation de données a eu un impact sur environ 29 millions de comptes Facebook dans le monde, dont environ 3 millions étaient basés dans l'UE/EEE. Les catégories de données à caractère personnel concernées comprenaient : le nom complet de l'utilisateur, son adresse électronique, son numéro de téléphone, sa localisation, son lieu de travail, sa date de naissance, sa religion, son sexe, ses publications sur sa timeline, les groupes dont l'utilisateur était membre et les données à caractère personnel de ses enfants. La violation résulte de l'exploitation par des tiers non autorisés de jetons d'utilisateur sur la plateforme Facebook. MPIL et sa société mère américaine ont remédié à la violation peu de temps après sa découverte.
Les décisions, prises par les commissaires à la protection des données, M. Des Hogan et M. Dale Sunderland, comprennent un certain nombre de blâmes et une injonction de payer des amendes administratives d'un montant total de 251 millions d'euros.
La DPC a soumis un projet de décision au mécanisme de coopération du GDPR en septembre 2024, comme l'exige l'article 60 du GDPR[2]. Aucune objection n'a été soulevée à l'encontre du projet de décision du CPD. Le DPC remercie les autorités de contrôle de l'UE/EEE pour leur coopération et leur assistance dans cette affaire.
Les décisions finales de la DPC font état des constatations suivantes de violation du RGPD :
1. Décision 1
2. Décision 2
La DPC publiera le texte intégral de la décision et d'autres informations connexes en temps utile.
Cette violation de données a eu un impact sur environ 29 millions de comptes Facebook dans le monde, dont environ 3 millions étaient basés dans l'UE/EEE. Les catégories de données à caractère personnel concernées comprenaient : le nom complet de l'utilisateur, son adresse électronique, son numéro de téléphone, sa localisation, son lieu de travail, sa date de naissance, sa religion, son sexe, ses publications sur sa timeline, les groupes dont l'utilisateur était membre et les données à caractère personnel de ses enfants. La violation résulte de l'exploitation par des tiers non autorisés de jetons d'utilisateur sur la plateforme Facebook. MPIL et sa société mère américaine ont remédié à la violation peu de temps après sa découverte.
Les décisions, prises par les commissaires à la protection des données, M. Des Hogan et M. Dale Sunderland, comprennent un certain nombre de blâmes et une injonction de payer des amendes administratives d'un montant total de 251 millions d'euros.
La DPC a soumis un projet de décision au mécanisme de coopération du GDPR en septembre 2024, comme l'exige l'article 60 du GDPR[2]. Aucune objection n'a été soulevée à l'encontre du projet de décision du CPD. Le DPC remercie les autorités de contrôle de l'UE/EEE pour leur coopération et leur assistance dans cette affaire.
Les décisions finales de la DPC font état des constatations suivantes de violation du RGPD :
1. Décision 1
- Article 33, paragraphe 3, du RGPD - En n'incluant pas dans sa notification de violation toutes les informations requises par cette disposition qu'elle aurait pu et dû inclure. La DPC a réprimandé MPIL pour ses manquements à cette disposition et l'a condamnée à payer des amendes administratives d'un montant de 8 millions d'euros.
- Article 33, paragraphe 5, du RGPD - En omettant de documenter les faits relatifs à chaque violation, les mesures prises pour y remédier, et de le faire d'une manière qui permette à l'autorité de contrôle de vérifier la conformité. La DPC a réprimandé MPIL pour ses manquements à cette disposition et l'a condamnée à payer des amendes administratives d'un montant de 3 millions d'euros.
2. Décision 2
- Article 25, paragraphe 1, du RGPD - En ne veillant pas à ce que les principes de protection des données soient protégés lors de la conception des systèmes de traitement. La DPC a constaté que MPIL avait enfreint cette disposition, lui a adressé un blâme et l'a condamnée à payer des amendes administratives d'un montant de 130 millions d'euros.
- Article 25, paragraphe 2 - En manquant à leur obligation, en tant que responsables du traitement, de veiller à ce que, par défaut, seules les données à caractère personnel nécessaires à des finalités spécifiques soient traitées. La DPC a constaté que MPIL avait enfreint ces dispositions, lui a infligé un blâme et l'a condamnée à payer des amendes administratives d'un montant de 110 millions d'euros.
La DPC publiera le texte intégral de la décision et d'autres informations connexes en temps utile.
Source : Communiqué de la Commission irlandaise de protection des données
Et vous ?
Quel est votre avis sur le sujet ? Trouvez-vous que la décision de la CPD est pertinente et justifiée ?Voir aussi :
Les hackers qui ont attaqué Facebook se seraient fait passer pour une société de marketing, l'hypothèse d'une manœuvre politique est écartée Facebook : la faille de sécurité aurait possiblement affecté 90 millions de comptes et exposé les données des utilisateurs pendant au moins 14 mois Près de 50 millions de comptes Facebook affectés par une faille de sécurité, considérée comme étant la plus importante de l'histoire du réseau social