Sale temps pour Facebook. Alors que l’entreprise vient de licencier une bonne partie de son effectif et de mettre au placard ses écrans connectés Portal, voilà qu’elle est frappée d’une amende de 267 millions d’euros.
Obligations de moyens
La DPC, version irlandaise de notre Cnil national, a sanctionné la firme de Mark Zuckerberg pour un manque de sécurisation des données qui a permis à des pirates de revendre les données personnelles de plus de 500 millions de comptes en 2021. “La décision, qui a été adoptée le vendredi 25 novembre 2022, fait état de constats d’infraction aux articles 25 paragraphe 1 et 25 paragraphe 2 du RGPD”, précise la DPC. En plus de l’amende, le réseau social est obligé de prendre “une série de mesures correctives spécifiées dans un délai donné”.
L’exploitation de ces données entre 2018 et 2019 a permis à des hackers malveillants de mettre la main sur des millions de numéros de téléphone. Rien qu’en France, une partie de la data personnelle de 20 millions de comptes a été agrégée dans une gigantesque base de données mise en vente librement sur le web. De son côté, Facebook assure avoir “pleinement coopéré avec la Commission irlandaise de protection des données” sur le sujet et implémenté “des modifications sur [ses] systèmes pour empêcher que cela ne se reproduise”.
700 millions d’euros d’amende en 2022
La réponse de Facebook mentionne d’ailleurs le scraping de données, en référence à la méthode consistant à récupérer des tas d’informations plus ou moins accessibles publiquement en détournant certains outils mis à disposition par Facebook. “Le scraping de données non autorisé est inacceptable et contraire à nos règles. Nous continuerons à travailler avec nos pairs sur ce problème”, indique le réseau social.
Malgré toute la bonne volonté affichée par Facebook, cette exploitation des données est contraire à l’article 25 du RGPD qui exige que “les données à caractère personnel ne soient pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée”.
L’amende de 265 millions d’euros est la troisième que la DPC (qui agit comme cheffe de file pour le respect du RGPD) inflige à Facebook en 2022. En mars, l’autorité lui réclamait 17 millions d’euros, et en septembre une amende record de 405 millions d’euros avait également été requise à l’encontre du site. Cette année, Facebook a donc été condamné à plus de 700 millions d’euros d’amendes pour violation du RGPD.