La société mère de Facebook, Meta, a été frappée d’une autre lourde sanction pour avoir enfreint la législation européenne sur la protection des données.
L’amende de 265 millions d’euros (~ 275 millions de dollars) a été annoncée aujourd’hui par la Commission irlandaise de protection des données (DPC), le principal régulateur du géant de la technologie pour le règlement général sur la protection des données (RGPD) de l’Union européenne.
Le DPC a confirmé que la décision, qui a été adopté vendredi, enregistre les constatations d’infraction aux articles 25(1) et 25(2) du RGPD, qui sont axés sur la protection des données dès la conception et par défaut.
Le DPC a déclaré qu’il imposait également une série de mesures correctives, écrivant: « La décision a imposé un blâme et une ordonnance obligeant MPIL [Meta Platforms Ireland Limited] mettre son traitement en conformité en prenant une série de mesures correctives spécifiées dans un délai donné.
La sanction concerne une enquête qui a été ouverte par le DPC le 14 avril 2021, à la suite de reportages dans les médias selon lesquels les données personnelles de plus de 530 millions d’utilisateurs de Facebook – y compris les adresses e-mail et les numéros de téléphone portable – ont été exposées en ligne.
À l’époque, Facebook a tenté de minimiser la violation – affirmant que les données qui avaient été trouvées en ligne étaient des « anciennes données » et qu’il avait résolu le problème qui avait conduit à l’exposition des données personnelles.
La société a poursuivi en disant qu’elle pensait que les données avaient été extraites des profils Facebook par des « acteurs malveillants » à l’aide d’une fonctionnalité d’importation de contacts qu’elle proposait jusqu’en septembre 2019, avant de la modifier pour empêcher l’abus de données en bloquant la possibilité de télécharger un grand ensemble. de numéros de téléphone pour trouver ceux qui correspondent aux profils Facebook.
Le DPC a confirmé que son enquête portait sur une variété d’outils de recherche de contacts et d’importateurs que la société propose sur ses plateformes entre la date d’entrée en vigueur du RGPD et la date des modifications apportées à l’outil d’importation de contacts Facebook à l’automne 2019.
« Le champ de l’enquête concernait un examen et une évaluation des outils Facebook Search, Facebook Messenger Contact Importer et Instagram Contact Importer en relation avec le traitement effectué par Meta Platforms Ireland Limited (« MPIL ») pendant la période comprise entre le 25 mai 2018 et septembre 2019. », a écrit le DPC.
« Les enjeux matériels de cette enquête concernaient des questions de respect de l’obligation GDPR for Data Protection by Design and Default », a-t-il ajouté, précisant qu’il avait examiné la mise en œuvre de mesures « techniques et organisationnelles » relevant de l’article 25 GDPR (qui traite de protection des données par conception et par défaut).
« Il y a eu un processus d’enquête complet, y compris une coopération avec toutes les autres autorités de contrôle de la protection des données au sein de l’UE. Ces autorités de contrôle ont accepté la décision du DPC », a également déclaré le régulateur – mettant en lumière l’absence de désaccord sur cette décision particulière, ce qui n’est souvent pas le cas avec les applications transfrontalières du RGPD (alors que les différends entre les régulateurs de l’UE peuvent souvent augmenter considérablement le temps qu’il faut pour appliquer le RGPD – par conséquent, cette décision finale a atterri relativement rapidement).
Le sous-commissaire du DPC, Graham Doyle, a déclaré à TechCrunch que les mesures correctives qu’il a appliquées à Meta dans le cadre de cette décision sont « une ordonnance en vertu de l’article 58, paragraphe 2, point d) du RGPD… pour mettre son traitement en conformité avec le RGPD dans le de la manière spécifiée dans la présente décision » — la société bénéficiant d’un délai de trois mois à compter de la date de la décision finale pour s’y conformer.
« Plus précisément, dans la mesure où MPIL est engagé dans un traitement continu de données à caractère personnel qui inclut un paramètre de recherche par défaut de « Tout le monde », cette ordonnance oblige… MPIL à mettre en œuvre des mesures techniques et organisationnelles appropriées concernant les Caractéristiques pertinentes à l’égard de tout traitement en cours de données à caractère personnel, pour s’assurer que, par défaut, seules les données à caractère personnel qui sont nécessaires à chaque finalité spécifique du traitement sont traitées, et que par défaut les données à caractère personnel ne sont pas rendues accessibles sans l’intervention de la personne à un nombre indéfini de personnes physiques », il ajouté, en soulignant : « Cette ordonnance est prise pour assurer la conformité avec l’article 25, paragraphe 2, du RGPD. »
Les « fonctionnalités pertinentes » dans ce contexte sont l’importateur de contacts Facebook ; Importateur de contacts Messenger ; Importateur de contacts Instagram ; et Recherche Messenger ; et ses variantes Messenger Contact Creator.
Meta a été contacté pour une réponse. Un porte-parole n’a pas confirmé s’il chercherait ou non à faire appel – mais le géant de la technologie a déclaré qu’il « examinait » la décision « avec attention ».
Voici la déclaration de Meta :
« La protection de la confidentialité et de la sécurité des données des personnes est fondamentale pour le fonctionnement de notre entreprise. C’est pourquoi nous avons pleinement coopéré avec la Commission irlandaise de protection des données sur cette question importante. Nous avons apporté des modifications à nos systèmes pendant la période en question, notamment en supprimant la possibilité de supprimer nos fonctionnalités de cette manière en utilisant des numéros de téléphone. Le grattage de données non autorisé est inacceptable et contraire à nos règles et nous continuerons à travailler avec nos pairs sur ce défi de l’industrie. Nous examinons attentivement cette décision.
La société a ajouté qu’elle avait mis en place une série de mesures pour lutter contre le grattage des données depuis cette violation, notamment l’application de limites de débit et le déploiement d’outils techniques pour lutter contre les activités automatisées suspectes, ainsi que la fourniture aux utilisateurs de contrôles pour limiter la visibilité publique de leurs informations. .
La sanction GDPR n’est pas la première pour Meta – et ce ne sera peut-être pas la dernière.
Il y a un peu plus d’un an, WhatsApp, propriété de Meta, a été condamné à une amende de 225 millions d’euros (~ 267 millions de dollars) pour violation de la transparence. En mars, la société a également été condamnée à une amende d’environ 18,6 millions de dollars pour une série de violations de données historiques sur Facebook.
Le DPC a également un certain nombre d’enquêtes en cours sur d’autres aspects des activités de Meta – notamment une enquête majeure sur la base juridique que Meta prétend être en mesure de traiter les données des personnes qui remonte à environ 4,5 ans.