Une amende colossale de 251 millions d’euros a été infligée à Meta, la maison-mère de Facebook, par la Commission irlandaise pour la protection des données (DPC). Cette sanction, annoncée mardi, fait suite à une faille de sécurité sur le célèbre réseau social survenue en 2018, qui avait permis à des pirates informatiques d’accéder aux données personnelles de dizaines de millions d’utilisateurs à travers le monde.
Une faille de sécurité aux lourdes conséquences
Selon la DPC, qui agit au nom de l’Union européenne, ce défaut de sécurité repéré et rendu public par Facebook en septembre 2018 a eu un impact sur environ 29 millions de comptes, dont 3 millions situés dans l’UE. Les pirates ont pu mettre la main sur des informations sensibles pouvant inclure le nom complet, l’adresse email, le numéro de téléphone, la date de naissance ou encore la religion des utilisateurs concernés.
Cette brèche massive dans le système de sécurité du géant des réseaux sociaux avait à l’époque provoqué un immense scandale à l’échelle internationale. Les pirates avaient exploité une faille située au niveau de la fonctionnalité « Voir en tant que », qui permet de visualiser à quoi ressemble son propre profil vu par quelqu’un d’autre.
Un bug à l’origine du problème
La conjonction de plusieurs bugs dans cette fonctionnalité pouvait générer par erreur des clés numériques de connexion, appelées « access tokens ». Celles-ci permettaient aux utilisateurs de rester connectés sans avoir à rentrer leur mot de passe à chaque fois. Les pirates sont parvenus à dérober ces précieux sésames, obtenant ainsi un accès aux comptes concernés comme s’ils en étaient les véritables propriétaires. Selon la DPC, cette faille a perduré pendant 14 jours en septembre 2018.
Une amende qui tombe plusieurs années après les faits
Le régulateur irlandais avait ouvert une enquête sur cette affaire dès la fin 2018. Il s’agissait de l’une des premières applications à l’encontre d’un poids lourd d’Internet du Règlement européen sur la protection des données (RGPD), tout juste entré en vigueur. Ce texte renforce les droits des internautes et fixe des obligations claires aux entreprises dans le traitement des données personnelles.
Graham Doyle, responsable de la communication de la DPC, a déclaré que cette amende « montre comment le fait de ne pas intégrer les exigences en matière de protection des données tout au long du cycle de conception et de développement peut exposer les personnes à des risques et à des préjudices très graves ».
Meta conteste la décision
De son côté, Meta affirme avoir « pris des mesures immédiates pour résoudre le problème dès qu’il a été identifié » et avoir « informé de manière proactive les personnes impactées ainsi que la Commission irlandaise de protection des données ». Un porte-parole du groupe a indiqué que Meta comptait faire appel de la décision.
Une sanction peu dissuasive pour le géant du web ?
Si le montant de l’amende peut paraître élevé, il ne représente qu’une goutte d’eau pour un mastodonte comme Meta. La firme de Menlo Park vient en effet d’annoncer un chiffre d’affaires de 40,59 milliards de dollars et 15,69 milliards de bénéfices au troisième trimestre, dépassant les attentes du marché.
Le groupe de Mark Zuckerberg est par ailleurs régulièrement épinglé dans l’UE pour des manquements à la protection des données personnelles. Parmi les condamnations récentes :
- 91 millions d’euros en septembre 2022 pour un manque de transparence après une faille de sécurité
- 225 millions d’euros en 2021, déjà pour manque de transparence
- 405 millions d’euros en 2022 pour des manquements dans le traitement des données des mineurs
- 265 millions d’euros en 2022 pour un déficit de protection des données
- 390 millions d’euros en 2023, encore pour des problèmes de transparence
Des sanctions qui tombent souvent plusieurs années après les faits, et qui semblent bien peu dissuasives au vu des profits colossaux engrangés par Meta. L’avenir dira si l’entreprise parviendra à renforcer significativement la sécurité des données de ses utilisateurs à l’avenir pour éviter de nouvelles condamnations de ce type.
