La société mère de Facebook, Meta, a été condamnée à une amende de 17 millions d’euros (~ 18,6 millions de dollars) par la Commission irlandaise de protection des données (DPC) pour une série de violations de données historiques.
Les failles de sécurité en question, qui semblent avoir affecté jusqu’à 30 millions d’utilisateurs de Facebook, remontent à plusieurs années – et avaient été divulguées par Facebook au régulateur irlandais en 2018.
Le DPC, qui est le principal régulateur de confidentialité de Meta/Facebook dans l’Union européenne, a ouvert cette enquête liée à la sécurité fin 2018 après avoir reçu pas moins de 12 notifications de violation de données du géant de la technologie au cours de la période de six mois entre le 7 juin 2018 et le 4 décembre 2018.
Le règlement général sur la protection des données (RGPD) de l’Union européenne, entré en vigueur en mai 2018, impose aux contrôleurs de données l’obligation légale de divulguer rapidement les violations de données personnelles à une autorité de contrôle si la fuite d’informations est susceptible de présenter un risque pour les individus. . (Les infractions les plus graves doivent être notifiées dans les 72 heures.)
« L’enquête a examiné dans quelle mesure les méta-plateformes se conformaient aux exigences des articles 5(1)(f), 5(2), 24(1) et 32(1) du RGPD en ce qui concerne le traitement des données personnelles pertinentes pour le douze notifications de violation », a écrit le DPC dans un communiqué de presse annonçant une décision finale sur son enquête Facebook.
« À la suite de son enquête, le DPC a conclu que les méta-plateformes avaient enfreint les articles 5(2) et 24(1) GDPR. La DPC a constaté que Meta Platforms n’avait pas mis en place les mesures techniques et organisationnelles appropriées qui lui permettraient de démontrer facilement les mesures de sécurité qu’elle a mises en œuvre en pratique protéger les données des utilisateurs de l’UE, dans le contexte des douze violations de données à caractère personnel. »
Dans une déclaration répondant à la sanction du DPC, un porte-parole de Meta a cherché à minimiser l’épisode comme un simple cas de tenue de registres historiquement laxiste – en écrivant :
Cette amende concerne les pratiques de tenue de registres de 2018 que nous avons mises à jour depuis, et non un manquement à la protection des informations des personnes. Nous prenons au sérieux nos obligations en vertu du RGPD et examinerons attentivement cette décision à mesure que nos processus continueront d’évoluer.
La sanction annoncée par le DPC est la première décision finale de l’Irlande sur une enquête GDPR contre Facebook lui-même depuis que le règlement a commencé à être appliqué il y a près de quatre ans – bien que le régulateur ait émis une sanction distincte (plus importante) contre WhatsApp appartenant à Facebook l’année dernière pour violation des règles de transparence.
Le DPC a confirmé que son projet de décision sur cette enquête Facebook avait fait l’objet d’objections de la part d’autres autorités de protection des données de l’UE – ce qui s’est également produit lors d’une enquête antérieure sur une violation de la sécurité de Twitter, ainsi que sur la décision de transparence sur WhatsApp. (Et dans ces deux cas, le mécanisme de règlement des différends du RGPD a entraîné l’imposition de sanctions plus élevées que ce que l’Irlande avait proposé.)
Le DPC a déclaré que deux autres autorités avaient soulevé des objections à son projet de décision sur cette enquête Facebook. Mais l’Irlande ne précise pas si l’amende a été augmentée à la suite des objections, ni quelles autorités s’y sont opposées (ni pourquoi).
Il est à noter que la pénalité est relativement faible – c’est certainement loin du maximum théorique de 4% du chiffre d’affaires annuel mondial de Meta (qui serait bien supérieur à un milliard de dollars).
Cependant, le DPC a infligé une amende encore plus petite (~ 550 000 $) à Twitter à la fin de 2020, également pour des manquements administratifs autour d’une notification de violation de la sécurité..
Bien qu’il existe probablement des variations dans ce qui s’est mal passé dans chaque cas, il est assez clair que les violations de la sécurité qui sont évaluées par les autorités de l’UE comme non intentionnelles sont susceptibles d’entraîner des sanctions moins élevées que les violations systémiques ou flagrantes des règles.
Il s’ensuit également qu’un toute une série de manquements a infligé à Facebook une pénalité plus importante que Twitter, qui n’avait signalé qu’une seule violation (pas une douzaine).
Piratage majeur de jetons
Les détails des 12 failles de sécurité que Facebook a admises au cours de la période de six mois de 2018 ne sont pas répertoriés par le DPC dans son annonce de la sanction – mais en septembre 2018, le géant de la technologie a divulgué publiquement un piratage majeur, qui, selon lui, a affecté au moins 50 millions de comptes après que des pirates ont exploité une faille de sécurité sur le site.
Facebook a par la suite affirmé que seuls 30 millions d’utilisateurs s’étaient effectivement fait voler leurs jetons lors du piratage.
Le bogue, qui remontait à juillet 2017, avait permis aux pirates d’obtenir des jetons d’accès au compte qui sont utilisés pour garder les utilisateurs connectés lorsqu’ils saisissent leur nom d’utilisateur et leur mot de passe, ce qui signifie que les jetons volés peuvent permettre aux pirates de s’introduire dans les comptes.
Ce piratage majeur de jetons n’était cependant pas la seule faille de sécurité pour le géant de la technologie en 2018.
En juin, Facebook a informé les utilisateurs d’un bogue qui avait créé une vulnérabilité pendant plusieurs jours le mois précédent, qui, selon lui, avait accidentellement modifié le paramètre de confidentialité suggéré pour les mises à jour de statut au public à partir de ce que les utilisateurs avaient défini pour durer – causant potentiellement jusqu’à 14 millions d’utilisateurs pour sur-partager du contenu sensible réservé aux amis avec des inconnus.
Un autre bogue que nous avons signalé, en novembre 2018, avait permis à n’importe quel site Web d’extraire des informations du profil d’un utilisateur Facebook – y compris ses « j’aime » et ses intérêts – à l’insu de la personne.
Et plus tard la même année, en décembre, Facebook a révélé publiquement un bogue de l’API photo qui, selon lui, avait donné aux développeurs d’applications trop d’accès aux photos de jusqu’à 5,6 millions d’utilisateurs.
Cette série de failles de sécurité a suivi de près l’histoire de Cambridge Analytica qui a éclaté dans un scandale mondial – en mars 2018 – lorsque des révélations sur les données des utilisateurs de Facebook ont été aspirées de sa plate-forme pour être réutilisées pour la publicité ciblée par la campagne Trump, qui était cherchant à influencer de manière opaque les élections américaines, a effacé des milliards de dollars du cours de son action.
Le scandale de Cambridge Analytica a également conduit les législateurs et les régulateurs du monde entier à intensifier leur examen du traitement par Facebook des informations des personnes – et a, en fin de compte, contribué à accélérer les mouvements de refonte et de renforcement de la réglementation des plates-formes numériques (telles que la sécurité en ligne entrante au Royaume-Uni législation ou la loi sur les services numériques de l’UE).
Mais comme le scandale de Cambridge Analytica est antérieur à l’entrée en vigueur du RGPD, Facebook a largement échappé aux sanctions réglementaires directes en Europe au cours de cet épisode particulier. Si le moment avait été un peu différent, il pourrait maintenant être sur le crochet pour une pénalité un peu plus importante.
Le bureau du commissaire à l’information du Royaume-Uni a infligé une amende de 500 000 £ à Facebook pour Cambridge Analytica, le maximum possible dans le cadre de son régime de protection des données pré-RGPD. Bien que Facebook ait contesté la décision du régulateur – avant d’accepter d’abandonner son appel et de payer l’amende pour régler avec l’ICO sans admettre sa responsabilité. Il est apparu plus tard que l’ICO avait accepté d’être bâillonné sur les termes de ce règlement.
Les résultats finaux de l’audit complet de l’application de plate-forme Facebook ont affirmé qu’il entreprendrait à la suite du scandale de Cambridge Analytica, dans le but de rassurer les utilisateurs qu’il purgeait les mauvais acteurs et verrouillait les données des utilisateurs, entre-temps, n’a jamais vu le jour.
Depuis lors, le RGPD a introduit un régime juridique plus strict contre l’abus de données – du moins dans toute l’UE (le Royaume-Uni n’est plus un État membre) – mais les longs délais entre les scandales de données et l’application continuent d’entraver le bon fonctionnement de la réglementation.
Le bilan plus large de l’Irlande en matière d’affaires transfrontalières signifie qu’une seule décision contre Facebook est peu susceptible de faire quoi que ce soit pour atténuer les critiques acerbes de son rythme d’application du RGPD contre les grandes technologies – notamment étant donné que plusieurs autres enquêtes sur Facebook restent indécises. (Et, comme nous l’avons signalé hier, le DPC est maintenant poursuivi pour inaction suite à une plainte GDPR distincte visant l’adtech de Google.)
Ce n’est donc probablement pas un hasard si, aujourd’hui encore, le régulateur a choisi de publier un rapport sur sa gestion des affaires RGPD transfrontalières.
Parmi les statistiques qu’il choisit de mettre en lumière figurent les réclamations suivantes (couvrant la période du 25 mai 2018 au 31 décembre 2021) :
- 1 150 plaintes transfrontalières valables ont été reçues par la DPC ; 969 (84%) en tant qu’autorité de contrôle chef de file (LSA) et 181 (16%) en tant qu’autorité de contrôle concernée (CSA).
- 588 (61%) plaintes transfrontalières traitées par la DPC en tant que LSA ont été initialement déposées auprès d’une autre autorité de contrôle et transférées à la DPC.
- 65 % de toutes les plaintes transfrontalières traitées par la DPC en tant que LSA depuis mai 2018 ont été clôturées, 82 % de celles reçues en 2018 et 75 % en 2019 étant désormais clôturées.
- Sur les 634 plaintes transfrontalières conclues traitées par la DPC en tant que LSA, 544 (86 %) ont été résolues à l’amiable dans l’intérêt du plaignant.
- 72 (22 %) plaintes transfrontalières ouvertes sont liées à une enquête et seront conclues à la finalisation de l’enquête. Un grand nombre des plaintes ouvertes restantes de 2018 et 2019 sont liées à une enquête.
- 86 % de toutes les plaintes transfrontalières traitées par la DPC en tant que LSA concernent seulement 10 contrôleurs de données.
- 38 % des plaintes transférées par le DPC à d’autres LSA de l’UE/EEE (à l’exception du Royaume-Uni) ont été résolues.