Une amende colossale de 251 millions d’euros a été infligée à Meta, la maison-mère de Facebook, par la Commission irlandaise pour la protection des données (DPC). Cette sanction, annoncée mardi, fait suite à une faille de sécurité sur le célèbre réseau social survenue en 2018, qui avait permis à des pirates informatiques d’accéder aux données personnelles de dizaines de millions d’utilisateurs à travers le monde.
Selon la DPC, qui agit au nom de l’Union européenne, ce défaut de sécurité repéré et rendu public par Facebook en septembre 2018 a eu un impact sur environ 29 millions de comptes, dont 3 millions situés dans l’UE. Les pirates ont pu mettre la main sur des informations sensibles pouvant inclure le nom complet, l’adresse email, le numéro de téléphone, la date de naissance ou encore la religion des utilisateurs concernés.
Cette brèche massive dans le système de sécurité du géant des réseaux sociaux avait à l’époque provoqué un immense scandale à l’échelle internationale. Les pirates avaient exploité une faille située au niveau de la fonctionnalité « Voir en tant que », qui permet de visualiser à quoi ressemble son propre profil vu par quelqu’un d’autre.
La conjonction de plusieurs bugs dans cette fonctionnalité pouvait générer par erreur des clés numériques de connexion, appelées « access tokens ». Celles-ci permettaient aux utilisateurs de rester connectés sans avoir à rentrer leur mot de passe à chaque fois. Les pirates sont parvenus à dérober ces précieux sésames, obtenant ainsi un accès aux comptes concernés comme s’ils en étaient les véritables propriétaires. Selon la DPC, cette faille a perduré pendant 14 jours en septembre 2018.
Le régulateur irlandais avait ouvert une enquête sur cette affaire dès la fin 2018. Il s’agissait de l’une des premières applications à l’encontre d’un poids lourd d’Internet du Règlement européen sur la protection des données (RGPD), tout juste entré en vigueur. Ce texte renforce les droits des internautes et fixe des obligations claires aux entreprises dans le traitement des données personnelles.
Graham Doyle, responsable de la communication de la DPC, a déclaré que cette amende « montre comment le fait de ne pas intégrer les exigences en matière de protection des données tout au long du cycle de conception et de développement peut exposer les personnes à des risques et à des préjudices très graves ».
De son côté, Meta affirme avoir « pris des mesures immédiates pour résoudre le problème dès qu’il a été identifié » et avoir « informé de manière proactive les personnes impactées ainsi que la Commission irlandaise de protection des données ». Un porte-parole du groupe a indiqué que Meta comptait faire appel de la décision.
Si le montant de l’amende peut paraître élevé, il ne représente qu’une goutte d’eau pour un mastodonte comme Meta. La firme de Menlo Park vient en effet d’annoncer un chiffre d’affaires de 40,59 milliards de dollars et 15,69 milliards de bénéfices au troisième trimestre, dépassant les attentes du marché.
Le groupe de Mark Zuckerberg est par ailleurs régulièrement épinglé dans l’UE pour des manquements à la protection des données personnelles. Parmi les condamnations récentes :
Des sanctions qui tombent souvent plusieurs années après les faits, et qui semblent bien peu dissuasives au vu des profits colossaux engrangés par Meta. L’avenir dira si l’entreprise parviendra à renforcer significativement la sécurité des données de ses utilisateurs à l’avenir pour éviter de nouvelles condamnations de ce type.
Bienvenue, Connectez-vous à votre compte.
Bienvenue, Créez votre nouveau compte
Un mot de passe vous sera envoyé par courrier électronique.