Les géants du web ne sont pas à l’abri des failles de sécurité. Meta, la maison mère de Facebook, vient d’en faire les frais en Allemagne. Dans un arrêt retentissant rendu le 12 juin, la Cour fédérale de justice a estimé que le groupe américain était responsable de “préjudice moral” envers les utilisateurs touchés par une vaste fuite de données survenue en 2021.
533 millions de victimes dans 106 pays
L’ampleur de cette fuite est colossale. Ce sont pas moins de 533 millions de personnes qui ont vu leurs données personnelles – numéro de téléphone, identité, lieu de travail – se retrouver sur le darknet suite à une faille de sécurité exploitée par des pirates. Et ce, dans 106 pays à travers le monde. En Allemagne, près de 6 millions de comptes Facebook ont été concernés selon la presse locale.
Cette brèche résulte d’une technique de piratage appelée “scraping”. Elle consiste à aspirerde manière automatisée les données publiques d’utilisateurs sans leur consentement, avant de les diffuser massivement sur le web.
Une faille colmatée mais des dégâts irréversibles
Meta affirme avoir colmaté cette faille dès 2019. Mais le mal était fait. Et les conséquences potentiellement désastreuses pour les utilisateurs concernés, qui risquent de voir leurs données personnelles utilisées à mauvais escient : usurpation d’identité, hameçonnage, spams…
C’est justement sur la base de ce “préjudice moral” qu’un internaute allemand a attaqué Facebook en justice, réclamant 1000 euros de dommages et intérêts. Débouté en première instance, il a finalement obtenu gain de cause auprès de la plus haute juridiction allemande.
La perte de contrôle sur ses données constitue un préjudice
Dans son arrêt, la Cour fédérale de Karlsruhe estime que “la simple perte de contrôle sur ses propres données personnelles à la suite d’une violation du RGPD constitue un préjudice moral qui doit être réparé“. Un dommage évalué à 100 euros selon les juges. Et ce, même sans qu’il y ait eu d’utilisation malveillante avérée de ces données.
La juridiction précise qu’il n’est pas nécessaire que le plaignant prouve un usage frauduleux de ses informations. Le simple fait d’en perdre le contrôle du fait d’une négligence de l’entreprise suffit à caractériser le préjudice.
Meta conteste mais risque gros
Sans surprise, Meta conteste cette décision. Le groupe affirme qu’elle n’est “pas conforme aux récents arrêts de la Cour de justice de l’UE“. Il souligne que des demandes similaires ont déjà été rejetées “plus de 6000 fois” par la justice allemande.
Mais cette fois, la donne a changé. En validant le principe d’un “préjudice moral” lié à la perte de maîtrise sur ses données, la Cour suprême allemande ouvre une brèche dans laquelle risquent de s’engouffrer des milliers d’autres plaignants. Le montant de 100 euros par victime, s’il est confirmé, pourrait coûter très cher à Meta en cas d’actions collectives.
L’affaire renvoyée à Cologne
L’affaire n’est pas terminée pour autant. La Cour a en effet renvoyé le dossier devant le tribunal de Cologne qui devra se prononcer de nouveau en tenant compte de ces nouveaux principes. Meta espère encore convaincre les juges de rejeter la demande du plaignant.
Mais au-delà de ce cas individuel, c’est bien la responsabilité du groupe et sa capacité à protéger efficacement les données de ses utilisateurs qui est en cause. Un sujet brûlant alors que les fuites massives et les scandales liés à l’usage abusif des données personnelles se multiplient.
Meta déjà lourdement sanctionné en Europe
Depuis l’entrée en vigueur du RGPD en 2018, Meta a déjà écopé de lourdes amendes de la part des autorités européennes de protection des données :
- 405 millions d’euros en septembre 2022 pour des manquements sur Instagram
- 265 millions en novembre 2022 pour ne pas avoir suffisamment protégé les données des utilisateurs de Facebook
- 17 millions en mars 2023 pour des cookies publicitaires illégaux sur Facebook
Cette nouvelle condamnation par la justice allemande montre que la pression ne retombe pas sur le géant américain. Toujours dans le viseur des régulateurs pour ses pratiques en matière de vie privée, Meta va devoir sérieusement revoir sa copie s’il ne veut pas voir sa facture s’alourdir dangereusement en Europe.
Une chose est sûre : la protection des données personnelles est devenue un enjeu majeur pour les entreprises du numérique. Et celles qui ne prendront pas les mesures nécessaires pour assurer la sécurité et la confidentialité des informations de leurs utilisateurs s’exposent à des risques juridiques et réputationnels de plus en plus élevés. Meta en fait aujourd’hui l’amère expérience.
